Les menaces informatiques sont plus diversifiées que jamais et se tapissent parfois dans des lieux que le commun des mortels ne suspecterait pas… En fin de semaine passée, l’éditeur d’Antivirus Avast a signalé à Google une série d’applications espionnes publiée dans son magasin pour Android, le Play Store. Un retrait qui en dit long.
En effet, il a toujours été plus facile de publier des applications sur Android de Google que sur iOS d’Apple. La pomme a parfois été décriée, y compris par le soussigné, pour son comportement parfois très directif, d’abord destiné à garantir l’ergonomie et l’utilisabilité de ces programmes, mais aussi la sécurité…
Des accès parfois très privilégiés…
Sur ce terrain, les choses sont beaucoup plus délicates et peuvent notamment dépendre de la complexité du code et des autorisations accordées à l’éditeur de l’application. En effet, certains programmes peuvent accéder à des données parfois très privées enregistrées dans nos smartphones. Sur Android, l’utilisateur est d’ailleurs notifié de ce genre d’accès.
Et c’est là que le risque devient plus important et que des questions essentielles se posent… Nos smartphones devenant de véritables couteaux suisses de notre monde numérique permettant désormais parfois aussi d’accéder à des données bancaires, il est légitime de s’interroger encore une fois sur la sécurité informatique et particulièrement mobile…
Un combat permanent
Evidemment, d’aucuns me répliqueront que Google scanne en permanence son magasin à la recherche d’applications malveillantes et que l’intelligence artificielle dopée à coups d’algorithmes plus ou moins improbables n’est pas en reste. Mais est-ce vraiment suffisant? L’exemple mis en lumière par cet éditeur de logiciel interpelle…
Dans ce contexte, il convient donc de veiller à ses informations et de ne pas livrer toutes les clefs ou mots de passe à son smartphone. Ce n’est pas pour rien que les systèmes les plus sécurités sont construits autour de plusieurs niveaux d’authentification… Dans l’intervalle, une armée d’ingénieurs, comme ceux d’Avast, veille, mais souvent avec un coup de retard…
Bonne chance!
Xavier Studer
En savoir plus sur Le blog high-tech & telecom de Xavier Studer
Subscribe to get the latest posts sent to your email.
Est-ce qu’une possibilité de créer des comités pour statuer sur la sécurité de ces applications a été imaginée? Merci.
Mais que ferait ce comité de plus que ce qui est déjà en place ? Édicter des règles ? Il y en a déjà. Inspecter les applications soumises ? Un travail titanesque absolument inenvisageables.
Sinon, les règles essentielles de sécurité s’appliquent toujours (et à plus forte raison) avec nos téléphones mobiles : ne pas installer n’importe quoi, lire les avis (pas seulement les positifs), regarder les permissions demandées, se méfier des applications « trop belles pour être vraies », etc.
Vous pouvez dans un premier temps, pour autant que l’application soit non payante (sinon ça empêche l’analyse), utiliser Exodus Privacy pour détecter les pisteurs dans les applications Android. https://exodus-privacy.eu.org/fr/
Par exemple l’app SBB Mobile des CFF contient à ce jour 6 pisteurs et demande 14 permissions:
https://reports.exodus-privacy.eu.org/fr/reports/86133/
https://reports.exodus-privacy.eu.org/fr/reports/search/ch.sbb.mobile.android.b2c/
Pisteurs:
1. ATInternet
2. Google Ads
3. Google CrashLytics
4. Google DoubleClick
5. Google Firebase Analytics
6. Mapbox
Le mieux en terme de pistage reste l’application de Marmiton: https://reports.exodus-privacy.eu.org/fr/reports/82770/ avec 19 pisteurs, et ils sont montés jusqu’à 34 dans les anciens rapports, miam !
Un très bon conseil ! J’avais effectivement oublié Exodus Privacy 🙂
Arrêter d’utiliser son smartphone pour tout faire simplement !
Les banques font fausse route sur smartphone et les gens accourent. Le jour où on aura vider vos comptes, il faudra pas vous plaindre 🙂
Boycotter les store centralisées qui prennent de l’argent et ne servent à rien. Toutes les applications devraient être téléchargeable hors store comme cela a toujours été le cas. Ne pas rester connecter à internet 24/24h et installer firewall + antivirus sur tout ordinateur (=cpu/Ram/stockage).
Une application qui fait le buzz comme FaceApp est disponible sur Android et iOS. Ça ne les empêche pas de créer un banque des données entre les photos uploadées par les utilisateurs et les données de ceux-ci.
Vous me direz, c’est pareil avec Facebook, Instagram, Google Photo & Cie.