Smartphones et applications : cibles de choix pour les attaquants

La collecte et l'exploitation des donne?es he?berge?es sur nos smartphones est un sujet qui revient re?gulie`rement a` la une des journaux, comme avec Whatsapp et son prochain changement de conditions d'utilisation. Objets indispensables du quotidien de la plupart de nos concitoyens, ceux-ci renferment une grande partie des donne?es personnelles et confidentielles de leurs utilisateurs : photos/vide?os, SMS, historique de de?placement, courriels, jeux, etc.

Ces dernie`res sont toutes particulie`rement inte?ressantes du point de vue des publicitaires, car elles mettent en lumie`re des habitudes de consommation. Le but final ? Servir la bonne publicite? au bon moment, au bon endroit afin d'inciter a` l'acte d'achat.

Un bon moyen pour un de?veloppeur de mone?tiser l'audience de son application est de mettre en place des bannie`res de publicite? dans son application. Et pour cela, des socie?te?s proposent des boites a` outils pre^tes a` l'emploi, appele?es SDK (Software Development Kit).

Concre`tement, les SDK sont des outils d'aide a` la programmation pour les de?veloppeurs afin de concevoir une application mobile, qui se pre?sentent sous la forme de fragments de code.
Ces SDK publicitaires facilitent l'affichage des publicite?s, le suivi des clics des utilisateurs dans une application, mais aussi la collecte des donne?es du te?le?phone.

Si la majorite? des applications sont dote?es de SDK qui ne posent pas de proble`me, il faut ne?anmoins se montrer vigilant vis a` vis du traitement des donne?es re?alise? par ces logiciels.

SDK et donne?es personnelles : attention au siphonage

Certaines des fonctionnalite?s sont le?gitimes pour un de?veloppeur car elles facilitent l'ame?lioration de son application ou sa partie mone?tisation. Toutefois, la question des donne?es agre?ge?es est souvent ne?glige?e. De plus en plus d'applications utilisent les SDK pour re?cupe?rer - sans demander clairement le consentement de l'utilisateur - la localisation, la liste des applications utilise?es ou encore des donne?es qui servent ensuite au ciblage publicitaire. Si ces donne?es n'ont que peu d'inte?re^t lorsqu'elles sont prises une par une, elles prennent tout leur inte?re^t lorsqu'elles sont corre?le?es.

Dans certains cas, ces SDK peuvent e?galement se re?ve?ler malveillants: re?cemment, Snyk une entreprise de cyberse?curite? ame?ricaine a de?voile? la nocivite? d'un SDK publicitaire utilise? par plus de 1200 applications ⁽¹⁾. Dans ce cas, la socie?te? e?ditrice du SDK, sous couvert d'une activite? le?gitime, pratiquait de la fraude publicitaire en favorisant les publicite?s de leur re?seau pluto^t qu'un autre.

En plus de ces activite?s frauduleuses, la socie?te?, via le SDK, traquait les utilisateurs des applications en re?cupe?rant certaines donne?es de navigation. Si cet exemple illustre un cas extre^me, il illustre bien la capacite? de collecte de ces SDK.

En re?ponse a` ces pratiques abusives de plus en plus courantes, Apple a re?cemment de?cide? de s'attaquer au pistage des utilisateurs par les publicite?s dans les applications. Le nouveau syste`me iOS 14 limite le suivi des de?placements et des actions des utilisateurs lorsqu'ils ouvrent une application. Cette mise a` jour n'est e?videmment pas du gou^t des re?gies publicitaires qui traquaient les utilisateurs a` travers les diffe?rents pe?riphe?riques (smartphone, tablette, ordinateur) et collectaient ainsi des milliers de donne?es personnelles.

Re?gies publicitaire et SDK : des cibles privile?gie?es pour une attaque amplifie?e

Les SDK constituent une cible inte?ressante pour les attaquants potentiels. En effet, une erreur de code peut aboutir a` une faille, susceptible d'e^tre exploite?e par une personne malveillante si elle est de?couverte. Un SDK est pre?sent dans plusieurs applications. Pour un attaquant qui cherche a` installer son malware sur le maximum de smartphones, chercher une faille dans un SDK pluto^t que dans une seule application permet de toucher un bien plus grand nombre d'utilisateurs.

De la me^me manie`re, une re?gie publicitaire est une cible particulie`rement inte?ressante, car en cas de piratage, elle permet d'intercepter des informations et des donne?es confidentielles ainsi que la possibilite? d'atteindre des millions de cibles d'un coup. Dans le cas d'un attaquant e?tatique, celui-ci pourra ainsi choisir ses cibles selon leurs inte?re^ts ou espionner a` distance des journalistes par exemple.

Pour d'autres attaquants, l'objectif sera de re?colter un maximum de donne?es personnelles. En effet, la masse de donne?es facilitera la corre?lation d'informations et la possibilite? de les utiliser par la suite pour des attaques de type social engineering par exemple ou de les revendre au marche? noir.

En re?sume?, le SDK ou la re?gie, facilite pour un individu malveillant l'amplification de son attaque pour toucher davantage de personnes.

Ne pas appliquer la politique du « j'accepte » par de?faut

Comme le dit le ce?le`bre adage « si c'est gratuit, c'est que vous e^tes le produit ».

Et me^me si beaucoup estiment n'avoir « rien a` cacher », les donne?es personnelles re?colte?es me?ritent que chacun y porte une attention particulie`re. Longtemps, la pe?dagogie en matie`re de protection des donne?es personnelles a e?te? ignore?e non pas par ne?gligence, mais parce que l'ampleur de l'impact de Facebook ou de Google sur la vie prive?e des internautes n'a pas clairement e?te? comprise. Combien de fois avons-nous cre?e? un compte sur un site ou une application en acceptant toutes les conditions d'utilisation sans e?gard aux donne?es collecte?es ?

Aujourd'hui, la pe?dagogie doit continuer. Pour limiter la collecte des donne?es personnelles sur le te?le?phone, quelques bonnes pratiques sont a` adopter. Ainsi, chaque fois qu'une application demande l'acce`s a` une donne?e personnelle, l'utilisateur doit se demander si celle-ci sera re?ellement utile ou s'il s'agit d'une fac?on de re?cupe?rer un maximum d'informations personnelles a` son e?gard. Par exemple, une application de jeux a-t-elle vraiment besoin d'acce?der au re?pertoire de contacts ?

D'autres mesures peuvent s'ave?rer efficaces : faites le tri des applications installe?es, supprimer celles qui ne sont pas utilise?es, effacer re?gulie`rement l'historique de navigation et de?sactiver la ge?olocalisation par de?faut.

Plus les utilisateurs prendront ces re?flexes, plus cela permettra a` chacun de prendre conscience de l'ampleur de la collecte des donne?es personnelles. Mais l'utilisateur n'arrive qu'au bout de la chai^ne. C'est a` l'ensemble de l'e?cosyste`me d'e^tre particulie`rement vigilant.

Tout d'abord, les de?veloppeurs d'applications qui sont encourage?s a` re?aliser des audits pousse?s et ve?rifier que les SDK utilise?s ne contiennent pas de manquement de se?curite?. Puis, e?videmment les de?veloppeurs du syste`me d'exploitation responsables de la mise en place des mesures de se?curisation.

Les smartphones renferment une e?norme quantite? de donne?es personnelles et confidentielles. Quels que soient l'identite?, l'activite?, les photos ou les fichiers de l'utilisateur, il est toujours possible de trouver le moyen d'en faire un usage malveillant en les revendant ou en usurpant l'identite? de la personne concerne?e. C'est seulement au travers d'une prise de conscience ge?ne?rale qu'il sera possible de re?pondre aux enjeux de la protection des donne?es personnelles.

(1)  https://snyk.io/blog/sourmint-malicious-code-ad-fraud-and-data-leak-in-ios/

Fred Raynal, CEO et fondateur - Quarkslab.