Alerte confidentialité : des milliers d'applications Android ou iOS exposent vos données en raison de fuites sur le cloud<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Une femme consulte les applications de réseaux sociaux Facebook, Instagram, Snapchat, Whatsapp, Twitter, Messenger et Linkedin sur un smartphone.
Une femme consulte les applications de réseaux sociaux Facebook, Instagram, Snapchat, Whatsapp, Twitter, Messenger et Linkedin sur un smartphone.
©Manan VATSYAYANA / AFP

Piratage insidieux

La société de sécurité mobile Zimperium a découvert que plus de 18.000 applications exposaient les informations personnelles, mots de passe et même les informations médicales des utilisateurs, lors d’une analyse de problèmes de fuites de données sur plus de 1,3 million d’applications Android et iOS.

Bernard Benhamou

Bernard Benhamou

Bernard Benhamou est secrétaire général de l’Institut de la Souveraineté Numérique (ISN). Il est aussi enseignant sur la gouvernance de l’Internet à l’Université Paris I-Panthéon Sorbonne. Il a exercé les fonctions de délégué interministériel aux usages de l’Internet auprès du ministère de la Recherche et du ministère de l’Économie numérique (2007-2013). Il y a fondé le portail Proxima Mobile, premier portail européen de services mobiles pour les citoyens. Il a coordonné la première conférence ministérielle européenne sur l’Internet des objets lors de la Présidence Française de l’Union européenne de 2008. Il a été le conseiller de la Délégation Française au Sommet des Nations unies sur la Société de l’Information (2003-2006). Il a aussi créé les premières conférences sur l’impact des technologies sur les administrations à l’Ena en 1998. Enfin, il a été le concepteur de « Passeport pour le Cybermonde », la première exposition entièrement en réseau créée à la Cité des Sciences et de l’Industrie en 1997.

Voir la bio »

Atlantico : Lors dune analyse de problèmes de fuites de données sur plus de 1,3 million dapplications Android et iOS, la société de sécurité mobile Zimperium a constaté que plus de 18 000 applications exposaient les informations personnelles, mots de passe et même les informations médicales des utilisateurs. Comment est-il possible que ces données fuitent ? Quelles peuvent être les conséquences de ces fuites ?

Bernard Benhamou : Ce sujet est devenu important pour les acteurs des technologies comme pour les usagers. On voit en effet se multiplier les attaques qui visent à récupérer des informations personnelles à mesure que sont découvertes de nouvelles failles de sécurité dans les applications mobiles. Malheureusement, tout cela n’est pas nouveau car les applications mal conçues ou spécifiquement élaborées pour extraire des informations des utilisateurs existent depuis le début des smartphones. Ainsi, de nombreuses applications (et en particulier des jeux) aussi bien en Chine qu’aux États-Unis ont été spécifiquement conçues pour extraire et revendre ces informations. Ainsi lorsque les utilisateurs donnent accès à leur carnet d’adresses, les concepteurs de l’application sont en mesure de revendre ces contacts à des fins publicitaires ou même à des fins d’usurpation d’identité. En dehors de ces utilisations, un grand nombre de sociétés diffusent des applications mal configurées. Il peut s’agir de développeurs incompétents ou pas assez soucieux de la sécurité des données collectées. La découverte de failles de sécurité dans les applications mobiles ou comme c’est le cas aujourd’hui dans des failles liées au stockage dans le cloud n’est que l’une des conséquences d’un marché qui s’est orienté vers la monétisation des données qui permettent de vendre des publicités personnalisées.

Quelle est désormais l’attitude des GAFAM dans ce domaine ?

Ils adoptent aujourd’hui des positions différentes sur le suivi des utilisateurs. Ainsi, Google s’apprête à réduire les fonctions de traçabilité pour les utilisateurs du navigateur Chrome. À l’opposé, Facebook a décidé de reprendre la vente de publicités politiques ciblées. Face aux nombreux scandales liés à l’utilisation frauduleuse des données à des fins économiques mais aussi politiques, le débat qui se pose est le suivant : le modèle économique lié à la monétisation des données personnelles à des fins de profilage publicitaire, que l’on nomme dans notre jargon le « microtargeting », est-il encore viable ? Les risques liés à la monétisation des données apparaissent désormais comme suffisamment inquiétant pour remettre en cause certaines décisions d’investissement dans les sociétés.

L’ampleur du phénomène de marchandisation des données est encore peu connue du grand public. Ainsi les « courtiers en données » (data brokers) qui regroupent parfois les profils de plusieurs centaines de millions de personnes peuvent accumuler jusqu’à plusieurs dizaines de milliers de paramètres sur chaque individu. En agrégeant ces données on peut tout savoir d’une personne, qu’il s’agisse de ses particularités médicales, de son profil psychologique ou encore de ses convictions politiques ou religieuses. Grâce à des technologies d’analyse basées sur l’intelligence artificielle, on peut même déduire sur une personne des informations médicales ou psychologiques qu’elle ne sait pas sur elle-même…

Ces fuites sont-elles amenées à se développer ?

Pour l’essentiel, les scandales sur la sécurité des données personnelles sont une conséquence du modèle économique du microtargeting, qui correspond à la vente de publicité ciblée. Ce modèle économique a en effet été à l’origine de la démultiplication des sources possibles d’information sur les individus et donc de failles potentiellement exploitables par des acteurs économiques peu scrupuleux ou par des hackers malveillants.

Aujourd’hui, les sources de fuites que peuvent exploiter les hackers malveillants sont très nombreuses depuis les terminaux mobiles eux-mêmes jusqu’aux grandes plateformes de stockage et de traitement des informations en passant par les différents réseaux sociaux. Il faut savoir que plus on multiplie le nombre d’acteurs capables d’utiliser ces plateformes, plus on multiplie les risques. En dehors des utilisations frauduleuse des données, l’autre risque est que ces informations stockées sur des clouds puissent être utiles à des sociétés afin d’acquérir des informations sur leurs concurrents. Ces inquiétudes ont été à l’origine des polémiques récentes sur le choix du ministère de la Santé de confier l’hébergement de la plateforme des données de santé (Health Data Hub) à Microsoft ou plus récemment de confier l’hébergement des données des prêts garantis par l’État (PGE) sur le cloud de la société Amazon.

Est-il possible actuellement de se prémunir dune exposition de nos données en ligne ?

Au-delà des mesures que peuvent prendre les utilisateurs pour éviter de confier leurs données à des applications mal sécurisées, il conviendra de revenir sur le modèle économique de la monétisation des données personnelles. Fondamentalement les données personnelles ne sont pas uniquement des données commerciales, ce sont des données qui peuvent avoir des répercussions politiques sur nos démocraties comme l’a par exemple démontré le scandale Cambridge Analytica ou plus récemment la « déplateformisation » de Donald Trump par Facebook ou YouTube. Les risques de cette dissémination des données personnelles sont désormais politiques et plus seulement économiques. C’est la raison pour laquelle nous avons souhaité au sein de l’Institut de la Souveraineté Numérique en partenariat avec l’Afnic étudier ces questions dans le cadre d’un rapport sur les nouveaux enjeux de souveraineté numérique liés aux objets connectés

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !