À l’heure où les débats se lèvent quant à l’utilité et aux risques des nombreuses applications de lutte contre le COVID-19, une étude récompensée par le prix CNIL-INRIA dénonce les pratiques de l’écosystème Android et le peu de respect de la vie privée de cet univers mobile…

Mis en place il y a quatre ans, le prix CNIL-INRIA pour la protection de la vie privée récompense un article scientifique dans le domaine des sciences numériques réalisé au moins en partie dans un centre de recherche situé dans l’Union Européenne.

L’article doit nécessairement traiter de l’amélioration de la protection des données personnelles ou de la vie privée. Cette année, le prix a été attribuée à une équipe composée de chercheurs espagnols de l’Université Carlos II de Madrid (UC3M) et de chercheurs américains de l’International Networks Science Institute (ICSI), situé à Berkeley dans l’état de Californie.

La prestigieuse récompense salue un article scientifique qui met en évidence les dangers des équipements avec le système d’exploitation Android pré-installé.

Un écosystème très opaque

Comme le souligne l’étude, Android est un système open-source qui par définition permet non seulement de modifier l’OS de base mais également de le personnaliser avec l’ajout de fonctionnalités spécifiques ou encore avec des applications pré-installées provenant d’éditeurs de logiciels et services sans oublier les accords avec des opérateurs télécoms pouvant donner naissance à des « imbrications » logicielles susceptibles de collecter des informations à l’insu des utilisateurs.

Les chercheurs ont tenté à travers leur étude de « détricoter » les écosystèmes d’équipements provenant de plus de 200 vendeurs.

Les travaux des chercheurs portent sur l’intégralité de la chaine de fabrication, de la conception du produit à l’opérateur de réseau en passant aussi par des acteurs tiers tels que les régies publicitaires, les services de tracking ou encore les plateformes de réseaux sociaux.

Ils mettent en évidence un manque de transparence au sein de ces écosystèmes avec des accords entre les différents intervenants de la chaine de fabrication qui sont potentiellement dangereux pour l’utilisateur final, notamment en termes de protection des données personnelles.

Les équipements seraient en effet mis sur le marché avec des « portes dérobées » permettant de collecter des données sensibles sans accord préalable de l’utilisateur et sans même qu’il en soit préalablement informé.

Un programme de certification très laxiste

En pratique, tous les vendeurs cherchent à se différencier de la concurrence en ajoutant des fonctionnalités ou des applications à leurs équipements.
Google se montre très passif puisque son programme de certification « compatible Android » s’attache surtout à vérifier que les modifications apportées de part et d’autre ne nuisent pas à la compatibilité avec Android.
Ce que font les modifications, en revanche, ne relève pas du programme de certification qui au demeurant est aussi très opaque. Au passage, Google en profite quand même pour imposer sa suite d’Apps : pas de certification sans Play Store, YouTube, Hangout, et autres « G » apps préinstallées.

Certes, avec son initiative Android One, l’éditeur cherche à voir se multiplier sur le marché des smartphones disposant d’un Android « pur » (comprenez, qui n’incorpore que l’expérience native et uniquement les apps de Google), sans surcouche personnalisée par les opérateurs mais aussi sans tout cet imbroglio – pointé du doigt par les chercheurs – d’apps et services rajoutés par les opérateurs, les constructeurs, les publicitaires, et autres entités plus ou moins identifiées.

Mais il est clair que le peu de succès rencontré par l’offre « Google One » contribue d’autant à valider les affirmations et craintes des chercheurs récompensés.

Des certificats « d’insécurité » plein les smartphones

Pour mener à bien leur étude, les chercheurs se sont appuyés sur Lumen et Firmware Scanner, deux apps disponibles sur Google Pay permettant de scanner le trafic et d’identifier les apps présentes sur un appareil. Ils ont fait appel à plus de 2000 utilisateurs dans 144 pays. Et les résultats sont édifiants ! L’écosystème Android (Google, fabricants, éditeurs d’apps, publicitaires, etc.) s’arrange pour préinstaller des applications dont on ignore la provenance et dont l’activité réelle au sein du smartphone est parfois totalement invisible de l’utilisateur.

Sur Android, les applications doivent être signées avec des certificats de sécurité. Les chercheurs ont découvert 115 certificats de sécurité portant simplement la mention « Android » sans aucune autre forme de précision quant à leur origine et l’entité qui les a émis. 43% de ces certificats semblaient provenir des US, 16% de Taiwan, 13% de Chine et 13% de Suisse ! Impossible pour les chercheurs de vérifier leur authenticité et leurs propriétaires !

En outre, nombre d’applications préinstallées sur 21 marques différentes de smartphones Android étaient signées avec des certificats « Android Debug » et n’auraient donc pas pu être installées via le Google Play Store qui n’autorise pas les certificats utilisés par les développeurs pendant les phases de développement et de debugging.

Et, sans surprise, en analysant les certificats officiels de certaines apps pré-installées, les chercheurs ont repéré ceux d’entreprises publicitaires comme les certificats de l’agence « iron-Source » sur les smartphones Asus, Wiko et d’autres. Même « TrueCaller », une application utilisée pour filtrer les appels et SMS indésirables et intégrée dans plusieurs smartphones du marché, est signée avec un certificat « iron-Source » ! Un comble !

Les chercheurs ont aussi détecté 123 apps préinstallées signées par Facebook : elles étaient présentes sur 939 appareils dont 68% étaient des Samsung.
Ils ont aussi détecté des apps signées par AccuWeather (à qui on reproche des pratiques bien trop agressives de collectes de données personnelles), par « AdUps » (une agence publicitaire rendue tristement célèbre par l’Adups Backdoor, une faille qui permet de briser les défenses du système), ou encore par GMobi (dont les pratiques commerciales intrusives ont notamment fait la Une du Wall Street Journal).

Des pratiques toujours plus contestables

Et pour compléter le tout, sur 1742 modèles de smartphones (provenant de 214 vendeurs), les chercheurs ont repéré 25 333 apps préinstallées intégrant soit des bibliothèques publicitaires (pour 11 935 apps), soit des bibliothèques d’analyse des comportements mobiles (pour 6 935 apps), soit des bibliothèques rattachées à des réseaux sociaux (pour 6 652 apps).

Mais le plus inquiétant réside dans les largesses que s’octroient les fabricants de smartphones dans le modèle de permissions du système. En effet, Android implémente un modèle d’autorisations qui contrôle l’accès par les applications aux données et aux ressources (caméra, GPS, etc.) du terminal. Il se trouve que ce modèle est extensible et personnalisable. Et les fabricants ne s’en privent pas. Les chercheurs ont identifié 1 795 Apps de 108 fabricants de terminaux définissant 4 845 permissions personnalisées ! Certaines se justifient pour l’intégration de capteurs très spéciaux ou nouveaux. D’autres pour des fonctions de sécurité en entreprise et de gestion MDM (Mobile Device Management). Malheureusement, ces permissions sont parfois exploitées par les cybercriminels ou par des applications douteuses pour accéder à des ressources sensibles.

Les chercheurs ont surtout remarqué que ces permissions personnalisées étaient là pour faciliter les intégrations avec les services publicitaires et les réseaux sociaux. Des bugs et failles au sein de ces services peuvent alors être exploités par les cybercriminels pour outrepasser les protections du système comme dans l’affaire MediaTek.

Parallèlement, les chercheurs ont mis en évidence un usage inapproprié des ressources par de nombreuses applications préinstallées qui, outre le fait qu’elles s’octroient des droits dont elles n’ont en théorie pas besoin et diffusent des informations à l’insu de l’utilisateur, peuvent aussi servir – par leurs failles et bugs – de porte d’entrée dérobée aux cybercriminels.

Bref, on comprend mieux ainsi pourquoi Google cherche depuis plusieurs années à prendre du recul sur l’univers Android et travaille sur un nouvel OS mobile (Fushia OS) pour remettre un peu d’ordre à tout cela. D’autant que son initiative « Android One », justement destinée à donner plus de transparence à l’écosystème, n’arrive pas à s’imposer.
Cette étude permet au passage de mesurer tout le cynisme du gouvernement américain dans l’affaire Huawei. Interdire à Huawei l’utilisation de Google Android pour des questions de sécurité nous fait rigoler doucement vu les pratiques des constructeurs de l’univers Android.

Enfin, à l’heure où se lèvent à l’échelon européen bien des débats autour du respect de la vie privée et de l’utilisation d’apps mobiles pour aider au déconfinement et suivre les éventuelles rencontres de chacun avec des personnes infectées, on ne peut que sourire… jaune.
Non pas sur le fond du débat, bien sûr.
Mais est-il bien raisonnable de s’offusquer des collectes de telles applications ayant pour objectif officiel de nous protéger, quand autant de fuites d’information existent déjà à notre insu ?

Au travers des services Google et des réseaux sociaux, les utilisateurs donnent déjà sciemment bien plus de leur vie privée qu’ils ne le croient ou ne le pensent. Avec cette étude, on a désormais aussi la certitude que les terminaux en font autant, l’écosystème Android étant bâti autour de mauvaises pratiques.


Par Marie Varandat et Loïc Duval
Crédits photo : Shutterstock