Plus de 52 000 applications Android et iOS seraient concernées
Yandex, la plus grande société Internet de Russie, aurait intégré dans les applications pour smartphones un code qui permet d’envoyer des informations sur des millions d’utilisateurs à des serveurs situés dans son pays d’origine. Le code serait dissimulé dans son SDK (kit de développement logiciel) AppMetrica qui permet aux développeurs de créer des applications pour les appareils fonctionnant sous iOS et Android. La révélation a suscité des inquiétudes quant à la sécurité des données, car la législation russe pourrait obliger la société à mettre ces données à la disposition du gouvernement russe.
Yandex, également appelé “Google russe”, développe et distribue le SDK “AppMetrica“. Les développeurs l’utilisent ensuite pour créer de nombreux types d’applications telles que les jeux, les applications de messagerie, les applications VPN, etc. Mais il est apparu récemment que AppMetrica dissimule un code permettant à Yandex de collecter discrètement les données personnelles des utilisateurs des applications qui l’intègrent. La découverte a été faite pour la première fois par le chercheur Zach Edwards dans le cadre d’une campagne d’audit des applications pour Me2B Alliance, une organisation à but non lucratif.
D’autres experts auraient ensuite confirmé l’existence d’un tel code dans le SDK. Yandex a reconnu que son SDK collecte des informations sur les “appareils, les réseaux et les adresses IP” qui sont stockées “à la fois en Finlande et en Russie”, mais la société a qualifié ces données de “non personnalisées et très limitées”. Elle a ajouté : « bien que cela soit théoriquement possible, dans la pratique, il est extrêmement difficile d’identifier les utilisateurs en se basant uniquement sur ces informations collectées. Yandex ne peut absolument pas le faire ». Pour Yandex, “AppMetrica n’est pas une menace pour les utilisateurs”.
Le géant technologique russe a ajouté qu’AppMetrica fonctionne comme n’importe quel autre outil. Ces révélations interviennent à un moment critique pour Yandex qui tente depuis longtemps de tracer une voie indépendante sans s’attirer les foudres du président russe Vladimir Poutine, qui souhaite un contrôle accru d’Internet. La société a déclaré qu’elle suivait un processus interne “très strict” dans ses relations avec les gouvernements. Elle souligne : « toutes les demandes qui ne respectent pas toutes les exigences procédurales et juridiques pertinentes sont rejetées ». Mais ces explications ne suffisent pas pour convaincre les critiques.
Cher Scarlett, anciennement ingénieur logiciel principal en sécurité mondiale chez Apple, a déclaré qu’une fois les données des utilisateurs collectées sur les serveurs russes, Yandex pourrait être obligé de les soumettre au gouvernement en vertu des lois locales. D’autres experts ont déclaré que les métadonnées du type de celles collectées par Yandex pourraient être utilisées pour identifier les utilisateurs. Ron Wyden, président de la commission des finances du Sénat américain, a vivement critiqué Google et Apple pour ne pas avoir fait suffisamment d’efforts afin de protéger les smartphones contre le logiciel Yandex.
AppMetrica aurait trouvé sa place dans 52 000 applications touchant des centaines de millions de consommateurs. « Ces applications s’emparent des données privées et sensibles des applications présentes sur votre téléphone, menaçant ainsi la sécurité nationale américaine et la vie privée des Américains et d’autres personnes dans le monde », a-t-il déclaré. Yandex, également considéré comme un géant mondial de la technologie, est coté à la Bourse de New York et détenu majoritairement par des fonds américains. Il est constitué en société à Amsterdam, et selon certains rapports, son fondateur Arkady Volozh vivrait en Israël.
En 2019, la société aurait conclu un accord avec le gouvernement russe, codifiant une structure qui garantit que Moscou peut intervenir sur certaines questions telles que les acquisitions étrangères, sans contrôle des opérations quotidiennes. En outre, l’invasion russe en Ukraine aurait brisé ses ambitions internationales, fait chuter son cours en bourse et amené certains partenaires occidentaux à couper les ponts. Le directeur exécutif de la société, Tigran Khudaverdyan, aurait démissionné la semaine dernière après avoir été visé par les sanctions de l’UE destinées à frapper les actifs des hommes d’affaires considérés comme proches du Kremlin.
Parmi les applications dans lesquelles AppMetrica est installé, on trouve des jeux, des applications de messagerie, des outils de partage de localisation et des centaines de VPN, des outils conçus pour permettre aux gens de naviguer sur le Web sans être suivis. Sept de ces VPN seraient spécialement conçus pour un public ukrainien. « Le SDK AppMetrica prétend fournir des services appropriés, tout en téléphonant à Moscou avec des détails de métadonnées profondément invasifs qui peuvent être utilisés pour suivre les personnes sur les sites Web et les applications », a déclaré Edwards, qui a découvert le code pour la première fois.
« Pour les personnes ayant un profil de menace élevé ou travaillant dans des emplois très médiatisés, l’utilisation d’applications qui envoient ces données à Moscou est dangereuse et peut potentiellement conduire à des attaques sur les réseaux domestiques ou à d’autres formes de surveillance numérique », a-t-il ajouté. Le sénateur Wyden a renchéri en déclarant que le discours rhétorique d’Apple et de Google selon lequel l’App Store et le Play Store sont des plateformes sûres pour les utilisateurs n’est qu’une “vaste fumisterie”. Selon le politique, Apple et Google auraient dû révéler la collecte de données d’AppMetrica il y a longtemps.
« Apple et Google soutiennent que leur contrôle de type monopolistique sur leurs magasins d’applications est nécessaire pour assurer la sécurité des consommateurs. Chaque jour où des applications construites à partir du SDK de Yandex restent dans ces magasins est une preuve supplémentaire que la sécurité des consommateurs qu’ils prétendent offrir est une illusion », a déclaré Wyden. Par ailleurs, Yandex a défendu l’utilisation de son SDK, affirmant qu’il “fonctionne de la même manière que ses homologues internationaux”, notamment Google Firebase, présent dans plus de 2 millions d’applications Android.
L’entreprise a déclaré qu’elle ne collectait des données qu'”après que l’application a reçu le consentement des utilisateurs” en passant par les applications Android et iOS. « Nous informons les développeurs concernant le fonctionnement d’AppMetrica, et ils sont tenus, si la loi l’exige, d’obtenir le consentement de leurs utilisateurs. Nous n’avons jamais donné d’informations sur les utilisateurs des applications sur lesquelles AppMetrica est installé, et on ne nous l’a jamais demandé », a expliqué Yandex. De même, Apple a déclaré qu’AppMetrica ne pouvait pas accéder sans discernement aux données des utilisateurs, car le SDK nécessite un consentement.
Par contre, Patrick Jackson, directeur de la technologie chez Disconnect, un développeur d’outils de protection de la vie privée, explique que la raison pour laquelle les SDK peuvent présenter un risque est précisément qu’ils ne demandent pas de permission. « Au lieu de cela, ils s’appuient sur les autorisations que vous, l’utilisateur, avez données à l’application qui les intègre », a-t-il déclaré. De son côté, Google a reconnu qu’il lui restait du travail à faire pour offrir aux utilisateurs la transparence sur les SDK utilisés pour créer des applications et a déclaré qu’il mènerait une enquête sur les données collectées par AppMetrica.
Entre-temps, certains développeurs d’applications auraient commencé à retirer AppMetrica de leurs applications à la suite de l’invasion de l’Ukraine par la Russie. « Nous avons pris la décision de ne plus utiliser de services appartenant à la Russie lorsque la guerre a commencé », a déclaré un porte-parole de Gismart, qui fabrique des dizaines de jeux dans lesquels AppMetrica est installé. Le navigateur Web Opera, doté d’un VPN intégré, a déclaré avoir désactivé le SDK à partir du 15 février, en attendant sa suppression complète. Il n’a pas donné de raison, mais a laissé entendre qu’il était passé à sa propre plateforme publicitaire.
À l’inverse, des rapports indiquent que plus de 2 000 applications ont ajouté le SDK d’AppMetrica depuis l’invasion de l’Ukraine, dont plusieurs semblent conçues pour suivre les utilisateurs ukrainiens. Selon un rapport, “Call Ukraine“, par exemple, est un “messager gratuit pour les Ukrainiens” qui a été lancé sur le Play Store le 10 mars en utilisant le drapeau bleu et jaune comme icône. Une fois téléchargée, l’application peut connaître l’identité d’un utilisateur et lire ses contacts.
Le développeur inclut une adresse e-mail factice : “help.service@Internet.ru.” Cher Scarlett a déclaré qu’il était inquiétant qu’AppMetrica ait été installé dans 21 applications VPN juste au cours des 30 derniers jours. « Vous essayez d’être proactif en étant plus sûr, mais en fait vous vous rendez plus vulnérable », a-t-elle déclaré.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la collecte de données personnelles par les SDK ?
Selon vous, la collecte de données d’AppMetrica est-elle plus dangereuse que celle effectuée par les SDK fournis par Google, Apple et d’autres géants de la technologie ?
source : developpez