Les développeurs publiant des applications sur Google Play et l’App Store doivent remplir une nouvelle section sur la sécurité des données. L’objectif : accroître la transparence en informant les utilisateurs de la manière dont les applications recueillent leurs données et dans quel but. Aujourd’hui, nous constatons que le contenu de cette section est purement déclaratif et camoufle de graves exfiltrations de données. Aux antipodes de sa raison d’être, cette section est aujourd’hui détournée par les développeurs malintentionnés pour duper les utilisateurs et voler leurs données à leur insu.
Un smartphone est une source intarissable d’informations personnelles et professionnelles, que les applications mobiles manipulent au gré de leurs activités. Une donnée peut être traitée par une application mobile de différentes manières :
Contrairement à ce que l’on pourrait penser, les applications mobiles collectent très souvent les données personnelles de leurs utilisateurs sans que cela soit nécessaire à leur fonctionnement. Les informations collectées sont alors revendues à des multinationales faisant du profiling, ou parfois envoyées vers des serveurs appartenant à des tiers malveillants.
Le moteur de Pradeo analyse chaque année des millions d’applications mobiles afin de révéler leur niveau de sécurité et de conformité. Pour établir un constat sûr, ces analyses identifient toutes les manipulations de données réalisées par les applications. De cette manière, notre outil a constaté par exemple que 20% des applications mobiles envoient les photos, vidéos et fichiers audio des utilisateurs hors de leur appareil, 14% en font de même avec les contacts
Depuis la mise en place de la section « Sécurité des données » sur le Google Play et « Confidentialité de l’app » sur l’App Store, les développeurs doivent déclarer à la publication de leur application si elle collecte des données de ses utilisateurs, dans quelle mesure et si elle les partage avec des tiers. Seulement voilà, les détails fournis ne sont pas toujours le reflet de la réalité.
Les chercheurs en sécurité mobile de Pradeo ont réalisé une étude qui permet de chiffrer ce constat inquiétant. Sur un échantillon de 5000 applications iOS et 5000 applications Android publiées en ligne en mai 2023 et dont la section sur la sécurité des données est renseignée, 17% des applications Android annoncent ne pas collecter de données personnelles, alors qu’en réalité elles les exfiltrent via le réseau. Le pourcentage atteint les 19% sur iOS. Ce sont ainsi des millions d’utilisateurs qui ont été induits en erreur, et plus continuent de l’être chaque jour.
Section « Sécurité des données » de la fiche d’une application sur Google Play
Section « Confidentialité de l’app » de la fiche d’une application sur l’App Store
Ces statistiques démontrent que cette nouvelle source d’information affichée dans les fiches des applications est en réalité trompeuse et propice à la confusion. Pour aboutir, la démarche a crucialement besoin d’être associée à de l’analyse comportementale des applications qui permettra d’identifier les manipulations de données avérées et non librement déclarées. En l’état, nos experts mettent en garde les utilisateurs mobiles et leur préconisent de ne pas utiliser ces déclarations comme élément de décision quant à l’installation d’une application et à l’acceptation des permissions d’accès à des données sensibles qu’elle demande.