Les experts en sécurité viennent de découvrir deux problèmes géants de confidentialité sur les smartphones
Cela a été une semaine assez étonnante en ce qui concerne la confidentialité et la sécurité des utilisateurs de smartphones. Plus précisément, deux enquêtes ont révélé des problèmes de confidentialité troublants concernant la publicité sur les smartphones et le système de notification d'iOS.
La première, une enquête approfondie menée par 404 Media , a révélé qu'une société appelée Patternz militait le système de diffusion de publicités sur les smartphones pour extraire des informations via des applications, puis les envoyer aux soumissionnaires.
Le rapport décrit Patternz comme « un outil d’espionnage secret capable de suivre des milliards de profils téléphoniques à travers l’industrie de la publicité ». Patternz utilise un pipeline dans des applications populaires telles que 9Gag et un certain nombre d'applications d'identification d'appelant populaires pour effectuer son travail néfaste. Patternz aurait déclaré à ses clients qu'il pouvait surveiller pratiquement toutes les applications capables de diffuser des publicités.
Le PDG de l'entreprise affirme qu'une fois l'outil, qui couvre plus d'un demi-million d'applications, déployé, le téléphone se transforme en « bracelet de suivi de facto ». Selon un document de recherche accablant, il dresse le profil de plus de 5 milliards d'utilisateurs et diffuse les informations aux clients en utilisant le marché des enchères en temps réel (RTB). Que vous ayez un iPhone ou un téléphone Android, c'est quelque chose qui peut vous affecter.
ISA, la société de surveillance derrière Patternz, collecte ces données auprès d'acteurs RTB comme Google et X, anciennement Twitter. L'ensemble de données qu'il vend peut inclure n'importe quoi, depuis l'emplacement très spécifique d'une personne, précis à quelques mètres près, jusqu'à l'historique de ses mouvements et même des personnes qu'elle rencontre.
Un réseau de surveillance massif
L'existence même de tels outils remet également en question l'efficacité de la fonctionnalité de transparence du suivi des applications d'Apple, très commercialisée, qui vise à limiter ce type de suivi activé par la publicité.
Les experts en cybersécurité affirment que de tels outils permettent la surveillance gouvernementale, et des organismes comme l'ISA font déjà la promotion de leurs services auprès des agences de sécurité nationale. Ce n'est pas une coïncidence.
Le chef de la National Security Agency a reconnu que la NSA achète les données de navigation Web des Américains auprès de courtiers en données, contournant ainsi le besoin de mandats.
Cette confirmation explosive est intervenue après que le sénateur Ron Wyden (Démocrate-OR) a suspendu la nomination du nouveau directeur de la NSA, Timothy Haugh, et a exigé des réponses sur les pratiques de l'agence en matière de collecte de données de localisation et d'Internet des Américains.
Wyden, qui tente depuis trois ans de révéler que la NSA achète les archives Internet des Américains, a reçu le 11 décembre une lettre de l'actuel directeur de la NSA, Paul Nakasone, confirmant ces achats. Reuters a été le premier à rapporter les détails de la lettre.
Les notifications peuvent être néfastes
Mais les publicités ne représentent que la moitié du problème. Une autre enquête menée par Mysk a révélé que des acteurs malveillants exploitaient les notifications push sur les iPhones pour collecter des données cruciales pour les diagnostics et la fourniture de données personnalisées.
Chaque fois qu'une application reçoit une notification push, iOS la réveille brièvement, lui donnant une courte fenêtre pour personnaliser la notification avant de la montrer à l'utilisateur. Il n’est pas surprenant que diverses applications sociales, tristement célèbres pour leurs habitudes invasives de collecte de données, exploitent ce temps d’exécution en arrière-plan fourni par les notifications push.
Les développeurs peuvent intelligemment utiliser cette faille pour exécuter du code en arrière-plan quand ils le souhaitent, simplement en envoyant des notifications push. De nombreuses applications utilisent cette fonction pour envoyer secrètement des données complètes sur les appareils tout en fonctionnant en arrière-plan, exécutant ainsi un système de prise d'empreintes digitales des appareils.
"La fréquence à laquelle de nombreuses applications envoient des informations sur l'appareil après avoir été déclenchées par une notification est époustouflante", déclare la société de sécurité. Cette enquête a mis au jour des comportements suspects, même sur des plateformes très populaires telles que Facebook, TikTok et LinkedIn.
Qu’en disent les experts ?
La seule solution à ce problème ? Désactivation des notifications.
« Plus récemment, les adversaires semblent utiliser des fenêtres contextuelles de notification et des publicités susceptibles d'inciter la victime à installer des logiciels espions sur ses appareils », a déclaré Jon Clay, PDG de la société mondiale de cybersécurité Trend Micro, à Digital Trends.
Alors, que peut faire une personne moyenne pour éviter une telle surveillance illicite, qui peut transmettre des détails d’identification tels que la localisation et des données locales ? « De nombreuses personnes ont été amenées à croire que les appareils mobiles sont eux-mêmes sécurisés », explique Clay, soulignant que l'installation de bloqueurs de publicité peut offrir une certaine forme de filet de sécurité ou d'applications de sécurité dédiées.
« Les attaques de cette nature sont assez insidieuses et extrêmement alarmantes », déclare Alan Bavosa, vice-président des produits de sécurité chez Appdome. Il note que les utilisateurs se trouvent généralement dans une position sans défense face à de telles attaques, car ils ne sont pas conscients de ce qui se passe sur leurs appareils.
"Il y a de petites choses que les utilisateurs peuvent faire pour ne pas aggraver les choses, comme télécharger des applications à partir des magasins d'applications standards et ne pas modifier (jailbreaker ou rooter) leurs appareils", nous explique Bavosa. "Mais ces mesures sont additives et non curatives."
Malheureusement, il semble que la responsabilité incombe en fin de compte à l’utilisateur, et il s’agit également d’une mesure préventive. Une suggestion courante des experts en cybersécurité consiste à accéder manuellement à l'application des paramètres et à désactiver les applications de notification pour certaines applications et peut-être également pour les capteurs des appareils.
« Certains logiciels publicitaires et logiciels espions peuvent être publiés par de mauvais acteurs sur les marchés officiels sous le couvert d'une application légitime », explique Shawn Loveland, directeur des opérations chez Resecurity. "Il est recommandé de ne pas installer d'applications aléatoires ou dont vous n'avez pas vraiment besoin."
Même si les acteurs malveillants ont trouvé des solutions de contournement, demander aux applications de ne pas suivre l’activité des utilisateurs sur votre iPhone est une étape prudente. "C'est une bonne idée de vérifier périodiquement les autorisations des applications, en particulier celles liées à la localisation et à l'accès au microphone, et de désactiver celles qui ne sont pas nécessaires", suggère John Chapman, co-fondateur de la société de sécurité MSP Blueshift.
Un répit arrivera plus tard cette année alors qu'Apple se prépare à demander aux développeurs d'expliquer explicitement pourquoi ils ont besoin d'accéder aux notifications push et aux systèmes de diagnostic associés sur les iPhones. Cela ne résoudra pas tous les problèmes d’un seul coup, mais c’est au moins un bon début.