Android, Applications et vie privée

Les applications Android ne sont pas sécurisées

 

Aujourd'hui et de plus en plus, c'est via les applications des smartphones et des tablettes que les utilisateurs effectuent leurs opérations du quotidien : achats, gestion de comptes variés, consultation de mails, virement d'argent, etc. Mais des études ont démontré que les applications mobiles offraient une moins bonne sécurisation de vos données que les sites Web.

En effet, le triste bilan du Global Privacy Enforcement Network après avoir analysé plus de 1200 applications est que les applications mobiles bafouent la vie privée de leurs utilisateurs. Près de 85% des applications mobiles n'explicitent pas les rames dans lesquelles sont recueillies les données personnelles des utilisateurs. La moitié de ces applications ne permettent pas aux utilisateurs d'accéder facilement à leur politique de confidentialité, et plus d'un tiers utilisent vos données de manière abusive en collectant des informations dont elles n'ont pas besoin.

 avp4.jpg

Cela s'explique par le malheureux fait que le principal revenu de nombre d'applications est la collecte des données personnelles de leurs utilisateurs, et non le service qu'elles offrent. Le problème réel n'est pas le stockage de données en soi, mais le fait que ces données sont soit utilisées de manière non sécurisée, soit partagées avec d'autres applications.

Cela expose les utilisateurs à des attaques MITM (man in the middle) qui a pour visée d'intercepter les données échangées entre deux parties (utilisateur / application) dans le but de les utiliser à ses fins.

La liste des applications de Google Play et d'Amazon qui ne respectent pas le protocole de sécurisation SSL à été publiée par Will Dormann. Le développeurs de ces applications ont également été avertis afin de remédier au plus vite à leurs failles.

En résumé, il est conseillé aux internautes d'avoir recours aux sites Web plutôt qu'aux applications pour certains services, cela protégera davantage vos données.


Un faille dans le navigateur d'Android

Une faille du navigateur Android Open Source Project (AOSP) découverte au début du mois de septembre permettrait d'accéder à l'ensemble des données de navigation de l'utilisateur (mots de passe, cookies, codes de carte bleue, etc.) et affecterait près de 75% des utilisateurs d'Android. Cette faille se situerait au niveau de l'exécution du code JavaScript.

avp4.jpg

Pour vous donner une idée, si vous visitez un site compromis par cette faille, en même temps que vous avez votre boite e-mail ouverte, les pirates ayant compromis le site pourront lire vos mails et utiliser les informations qu'il y a dedans (mots de passe de vos comptes, numéros de carte bleue, etc.). Il pourra aussi détourner votre boite mail en récupérant une copie de vos cookies et envoyer des mails en votre nom à tous vos contacts.

Cette faille affecte toutes les versions d’Android, sauf Android 4.4 KitKat, car le navigateur d’AOSP est utilisé par défaut dans les anciennes versions d’Android. Cette faille est qualifiée par les professionnels de « catastrophe pour la vie privée ».

Google est au courant du problème mais n'a pas encore été entendu à ce sujet, et sa réponse est très attendue.

Revenir à la page précédente
comments powered by Disqus
(c) REN-IT 2011-2013