Blog | Pradeo

Données collectées par les applications mobiles : le fossé entre déclaration et réalité

Rédigé par Roxane Suau | 6 mai 2024 13:36:12

Les développeurs publiant des applications sur Google Play et l’App Store doivent remplir une nouvelle section sur la sécurité des données. L’objectif : accroître la transparence en informant les utilisateurs de la manière dont les applications recueillent leurs données et dans quel but. Aujourd’hui, nous constatons que le contenu de cette section est purement déclaratif et camoufle de graves exfiltrations de données. Aux antipodes de sa raison d’être, cette section est aujourd’hui détournée par les développeurs malintentionnés pour duper les utilisateurs et voler leurs données à leur insu.

 

Que font les applications mobiles de nos données ?

Un smartphone est une source intarissable d’informations personnelles et professionnelles, que les applications mobiles manipulent au gré de leurs activités. Une donnée peut être traitée par une application mobile de différentes manières :

  • L’information est accédée par l’application.
  • L’information est stockée par l’application dans le système de fichier, dans une base de données locale, les ressources partagées, les logs, le presse-papier…
  • L’information est envoyée hors de l’appareil via internet ou le réseau cellulaire.

Contrairement à ce que l’on pourrait penser, les applications mobiles collectent très souvent les données personnelles de leurs utilisateurs sans que cela soit nécessaire à leur fonctionnement. Les informations collectées sont alors revendues à des multinationales faisant du profiling, ou parfois envoyées vers des serveurs appartenant à des tiers malveillants.

Le moteur de Pradeo analyse chaque année des millions d’applications mobiles afin de révéler leur niveau de sécurité et de conformité. Pour établir un constat sûr, ces analyses identifient toutes les manipulations de données réalisées par les applications. De cette manière, notre outil a constaté par exemple que 20% des applications mobiles envoient les photos, vidéos et fichiers audio des utilisateurs hors de leur appareil, 14% en font de même avec les contacts

 

L’ampleur des fausses déclarations sur les stores d’applications

Depuis la mise en place de la section « Sécurité des données » sur le Google Play et « Confidentialité de l’app » sur l’App Store, les développeurs doivent déclarer à la publication de leur application si elle collecte des données de ses utilisateurs, dans quelle mesure et si elle les partage avec des tiers. Seulement voilà, les détails fournis ne sont pas toujours le reflet de la réalité.

Les chercheurs en sécurité mobile de Pradeo ont réalisé une étude qui permet de chiffrer ce constat inquiétant. Sur un échantillon de 5000 applications iOS et 5000 applications Android publiées en ligne en mai 2023 et dont la section sur la sécurité des données est renseignée, 17% des applications Android annoncent ne pas collecter de données personnelles, alors qu’en réalité elles les exfiltrent via le réseau. Le pourcentage atteint les 19% sur iOS. Ce sont ainsi des millions d’utilisateurs qui ont été induits en erreur, et plus continuent de l’être chaque jour.

Section « Sécurité des données » de la fiche d’une application sur Google Play

 

Section « Confidentialité de l’app » de la fiche d’une application sur l’App Store

 

Ces statistiques démontrent que cette nouvelle source d’information affichée dans les fiches des applications est en réalité trompeuse et propice à la confusion. Pour aboutir, la démarche a crucialement besoin d’être associée à de l’analyse comportementale des applications qui permettra d’identifier les manipulations de données avérées et non librement déclarées. En l’état, nos experts mettent en garde les utilisateurs mobiles et leur préconisent de ne pas utiliser ces déclarations comme élément de décision quant à l’installation d’une application et à l’acceptation des permissions d’accès à des données sensibles qu’elle demande.