La plupart des utilisateurs semblent n'avoir aucun scrupule à faire confiance à des applications fiables qui proviennent de développeurs et de sources apparemment fiables. Les critiques positives, les millions de téléchargements et la distribution par des magasins officiels tels que Google Play sont considérés par beaucoup comme une caractéristique de sécurité. Toutefois, il n'y a aucune garantie à cet égard. La perte d'informations en ligne due à une erreur du développeur peut se produire, mais elle est plutôt improbable dans la plupart des cas. Lorsqu'elles sont invitées à envoyer des données d'utilisateur à un serveur, la plupart des applications utilisent le protocole sécurisé HTTPS, qui empêche les personnes extérieures d'intercepter les données en cours de route. Le problème réside dans les services de tiers qui impliquent les développeurs sans autre investigation. Par exemple, certains services d'analyse ou de publicité transmettent des informations sur Internet, mais n'utilisent que le protocole standard HTTPS, qui ne garantit pas la sécurité.
Quelles sont les informations qui pourraient être affectées ?
La plupart des fuites de données concernent le modèle de l'appareil, ses spécifications techniques, les données relatives au réseau ou au fournisseur d'accès Internet, et le nom APK (que le système utilise pour identifier le paquet). Pour de nombreux services, les coordonnées du smartphone ou de la tablette ont également fait l'objet de fuites.
Dans certains cas, les informations sur l'utilisation des applications ont été transmises par HTTP à partir d'un service tiers intégré. Ces informations comprennent les goûts, les messages, les pages visitées, etc. ainsi que des détails sur le propriétaire du gadget, nom, numéro de téléphone, date de naissance. Les clés individuelles créées pour chaque demande d'autorisation ont également été transmises de manière non sécurisée. Heureusement, la plupart des services ne transmettent pas les données de connexion et les mots de passe sous forme non cryptée, bien qu'il y ait eu quelques moutons noirs ici aussi.
Quel est le danger ?
Les informations transmises par HTTP sont envoyées en texte clair, de sorte que pratiquement tout le monde peut y accéder, y compris votre fournisseur d'accès Internet. En outre, le chemin entre l'application et le serveur tiers peut comporter de nombreux "points de transit" sous la forme de dispositifs qui reçoivent et stockent des informations pendant un certain temps.
Tout appareil de réseau, y compris votre routeur domestique, peut être la cible d'attaques. Si elle est piratée, les attaquants ont accès à des informations précieuses. (Toutefois, votre FAI peut le faire sans avoir besoin de pirater votre routeur). Il suffit d'obtenir des informations sur le gadget (en particulier les numéros IMEI et IMSI) pour suivre vos actions futures. Plus l'information est complète, plus les personnes extérieures obtiennent d'informations sur vous - des annonceurs aux faux amis proposant des fichiers malveillants à télécharger.
Cependant, la perte de données de l'appareil et de l'utilisateur n'est qu'une partie du problème. Les informations non cryptées peuvent également être remplacées. Par exemple, en réponse à une requête HTTP provenant d'une application, le serveur peut renvoyer une publicité vidéo qui peut être interceptée par des cybercriminels et remplacée par une version moins inoffensive.
Ce que vous pouvez faire
Bien entendu, ces problèmes doivent être réglés par les développeurs d'applications eux-mêmes. Cependant, vous ne devez pas leur faire confiance pour assumer réellement cette tâche. C'est pourquoi ces conseils simples sont rassemblés pour vous aider à mieux protéger vos données.
Jetez toujours un coup d'œil aux autorisations demandées par une application, le processus peut prendre un certain temps, mais au final, il est rentable même si l'application a été téléchargée des millions de fois. Par exemple, si une application de messagerie veut accéder à votre emplacement, vous ne devez jamais la donner.