Alors que la coupe du monde de football bat son plein, les applications mobiles permettant de suivre l’actualité footballistique ont le vent en poupe. Parmi les multiples fonctionnalités qu’elles proposent, on retrouve le suivi des matchs, l’accès aux classements de ses équipes favorites, la création d’un compte connecté aux réseaux sociaux, etc. À première vue, rien d’alarmant.
Mais pourtant, en examinant les applications* permettant de ne rien rater de l’un des évènements sportifs les plus suivis dans le monde, les chercheurs de Pradeo ont décelé une tendance inquiétante : la majorité d’entre elles sont hautement intrusives et qui plus est vulnérables. On retrouve en tête de liste, l’application Eurosport, téléchargée plus de 10 millions de fois.
Parmi les principaux éléments ressortant de l’analyse de l’application Android Eurosport (disponible sur Google Play) réalisée par le moteur Pradeo Security :
- Envoi de la géolocalisation des utilisateurs vers 18 serveurs distants
- Collecte de données via huit librairies publicitaires
- Vulnérable à la fuite de données et aux attaques de type Man-In-The-Middle (63 vulnérabilités)
Il est important de noter que la collecte des données citées dans cet article est stipulée dans la politique de confidentialité de l’application Eurosport, mais que celle-ci n’est à aucun moment mise en avant. Les utilisateurs ont-ils réellement conscience du caractère intrusif de l’application et de ses failles de sécurité, porte ouverte à une divulgation massive de leurs données ?
Divulgation de données vers de nombreux serveurs
L’application Eurosport transmet la géolocalisation de ses utilisateurs à 18 serveurs distants. De plus, elle collecte et envoie des informations concernant le terminal des utilisateurs ainsi que leurs préférences vers 14 serveurs en moyenne. La majorité de ces serveurs proviennent de 8 librairies publicitaires intégrées à l’application qui ont pour objectif de récolter un maximum de données concernant les usagers. En s’intégrant à un maximum d’applications, les sociétés de marketing éditant ces librairies établissent des profils très précis des utilisateurs, basés sur leurs habitudes, leurs déplacements et leurs opinions.
Vulnérable à la fuite de données et aux attaques de type Man-In-The-Middle (63 vulnérabilités)
Le moteur de Pradeo a détecté 63 vulnérabilités dans l’application Eurosport, dont 11 sont référencées par la communauté OWASP. Ce faisant, l’application expose les données qu’elles manipulent à de potentielles fuites ainsi qu’à des attaques de type Man-in-the-Middle et par déni de service (DoS).
Bien que les réglementations sur la protection des données soient actuellement renforcées, cette observation met en évidence une nouvelle zone d’ombre : les usagers ne peuvent raisonnablement pas assimiler la multitude de politiques de confidentialité liée à leurs usages mobiles. Pour les chercheurs de Pradeo, la protection de la vie privée des utilisateurs ne peut se régler uniquement par la loi. Elle nécessitera des solutions logicielles de protection qui aideront les utilisateurs à reprendre le contrôle sur les données qu’ils accepteront de partager ou non.
*Etude réalisée sur un échantillon de 250 applications présentes sur Google Play et l’App store.