Deux applications développées par le géant technologique chinois Baidu divulguaient des données « sensibles » qui risquaient d’exposer des millions d’utilisateurs à la surveillance ou à la cybercriminalité, ont affirmé des chercheurs mardi.

 

Les deux applications – Baidu Maps et Baidu App – ont été supprimées de Google Play à la fin du mois dernier, alors que Google remerciait les chercheurs pour avoir révélé des problèmes de protection de la vie privée dans le logiciel. L’application Baidu App est de nouveau en ligne après avoir été mise à jour, tandis que Baidu Maps reste hors ligne.

Les applications comptent jusqu’à 6 millions d’utilisateurs rien qu’aux États-Unis, avec des dizaines ou des centaines de millions d’autres dans le monde. (Une précédente estimation de Palo Alto suggérait que jusqu’à 1,4 milliard d’utilisateurs avaient téléchargé les applications, mais s’est rétracté par la suite). Les chercheurs de l’unité 42 de Palo Alto Networks ont affirmé que les applications divulguaient des données provenant de téléphones qui auraient pu laisser toute personne ayant téléchargé les applications sous surveillance permanente. « Les fuites de données ont rendu les utilisateurs traçables, potentiellement tout au long de leur vie », ont-ils écrit dans un rapport vu par Forbes avant la publication. Ils n’ont vérifié que la version de l’application qui était téléchargeable sur Google Play, mais ils pensent qu’il est possible que toutes les versions de tous les app stores mondiaux soient affectées.

Les chercheurs ont découvert qu’un kit de développement logiciel (SDK) de Baidu appelé Push in the apps envoyait des données utilisateur « sensibles » à un serveur chinois. Les informations comprenaient le modèle de téléphone, le numéro IMSI et l’adresse MAC.

Cette fuite de données peut paraître anodine, mais comme l’ont noté les chercheurs de l’unité 42, les numéros IMSI et IMEI peuvent être utilisés pour identifier et suivre un utilisateur, même lorsqu’il change de téléphone. L’IMSI, par exemple, est le numéro donné par un opérateur de téléphonie mobile pour identifier un abonné de manière unique.

« Les applications Android qui collectent des données, telles que l’IMSI, sont capables de suivre les utilisateurs pendant toute la durée de vie de plusieurs appareils. Par exemple, si un utilisateur change sa carte SIM sur un nouveau téléphone et installe une application qui a précédemment collecté et transmis le numéro IMSI, le développeur de l’application est en mesure d’identifier cet utilisateur de manière unique », ont écrit les chercheurs.

« Les fuites de données depuis les applications Android et les SDK représentent une grave violation de la vie privée des utilisateurs. La détection d’un tel comportement est vitale pour protéger le droit à la vie privée des utilisateurs de téléphones portables ».

Il y a un risque potentiel de cybercriminalité pour les utilisateurs aussi, a déclaré Stefan Achleitner, chercheur principal de l’unité 42, car il pourrait être possible de détecter et de rediriger un appel en utilisant les informations divulguées. « Un cybercriminel motivé financièrement pourrait rediriger un appel téléphonique qu’un utilisateur passe à sa banque et, en se faisant passer pour un représentant de la banque, le cybercriminel pourrait demander les informations bancaires de l’utilisateur », a déclaré Stefan Achleitner à Forbes. « De là, le cybercriminel pourrait accéder au compte bancaire de l’utilisateur et potentiellement voler son argent ».

 

Sur et hors de Google Play

Après que Palo Alto a informé Google des problèmes le mois dernier, les chercheurs ont déclaré que le géant de Mountain View, en Californie, avait confirmé les résultats et identifié par la suite des « violations supplémentaires » avant de retirer les applications le 28 octobre. Ni Google ni Palo Alto n’ont précisé quelles étaient les violations supplémentaires. L’application Baidu App était de retour sur Google Play le 19 novembre après avoir été mise à jour, mais Baidu Maps reste interdite.

Baidu a contesté la suggestion selon laquelle les recherches de Palo Alto Networks auraient conduit à l’interdiction de Google. « Nous travaillons à la mise à jour de Baidu Maps conformément aux directives de Google et nous espérons que l’application reviendra sur Google Play début décembre », a déclaré un porte-parole de Baidu.

L’entreprise chinoise a déclaré que les données étaient saisies « pour activer la fonctionnalité Push, comme indiqué dans l’accord de confidentialité. Baidu prend très au sérieux la confidentialité et la sécurité de ses utilisateurs et les données ne sont utilisées que sous l’autorisation des utilisateurs. Les problèmes signalés avaient été résolus dans la dernière version des applications avant que l’unité 42 ne se lance dans ses recherches ».

La société n’a pas répondu à d’autres questions sur les raisons pour lesquelles les applications ont été interdites au départ.

Un porte-parole de Google n’a pas fourni plus de détails, mais a ajouté : « Nous apprécions le travail de la communauté des chercheurs, et d’entreprises comme Palo Alto Networks, qui travaillent à renforcer la sécurité de Play Store. Nous nous réjouissons de collaborer avec eux sur d’autres recherches à l’avenir ».

Plus tôt cette année, un autre fournisseur chinois, Xiaomi, a été vu en train d’enregistrer les habitudes de navigation des utilisateurs sur le web via ses applications Android, même lorsqu’ils utilisaient le mode navigation privée.

 

Article traduit de Forbes US – Auteur : Thomas Brewster

 

<<< À lire également : Avec TikTok “Le Bénéfice D’Image De Marque Peut-Etre Spectaculaire” >>>