{"id":15932,"date":"2020-11-09T16:41:08","date_gmt":"2020-11-09T16:41:08","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15932"},"modified":"2020-11-09T16:41:08","modified_gmt":"2020-11-09T16:41:08","slug":"location-tracking-sdks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/location-tracking-sdks\/15932\/","title":{"rendered":"Les applications mobiles vous surveillent"},"content":{"rendered":"

Certaines applications mobiles suivent votre position et la communiquent en toute discr\u00e9tion aux services qui vendent des donn\u00e9es. Il est fort probable que vous utilisiez au moins une application de ce genre sans le savoir. Comment d\u00e9couvrir quelles applications peuvent s\u2019av\u00e9rer probl\u00e9matiques ? Que pouvez-vous y faire\u00a0?<\/p>\n

Quelles applications mobiles vous suivent ?<\/h2>\n

Lorsque nous avons pu voir<\/a> comment les spring breakers <\/em>d\u2019une plage en Floride s\u2019\u00e9parpillaient ensuite dans tous les \u00c9tats-Unis pendant la pand\u00e9mie Covid-19, le directeur de Kaspersky GReAT, Costin Raiu, n\u2019a pas imm\u00e9diatement pens\u00e9 au coronavirus mais plut\u00f4t aux applications qui suivent la position des utilisateurs. Le rapport a utilis\u00e9 certaines recherches, dont les donn\u00e9es de localisation de X-Mode. Comment l\u2019entreprise X-Mode a-t-elle obtenu ces donn\u00e9es\u00a0?<\/p>\n

Il s\u2019av\u00e8re que X-Mode distribue un kit de d\u00e9veloppement logiciel (SDK), c\u2019est-\u00e0-dire un composant que les d\u00e9veloppeurs peuvent inclure dans leurs applications, et paie mensuellement les d\u00e9veloppeurs, selon le nombre d\u2019utilisateurs r\u00e9guliers de l\u2019application, pour qu\u2019ils l\u2019incluent. En contrepartie, le SDK collecte les donn\u00e9es de localisation et des capteurs du smartphone, comme celles du gyroscope, puis les envoie aux serveurs de X-Mode. Ensuite, X-Mode vend les donn\u00e9es soi-disant rendues anonymes \u00e0 n\u2019importe quel acheteur.<\/p>\n

X-Mode affirme que le SDK n\u2019affecte pas vraiment l\u2019autonomie de la batterie comme il n\u2019utilise qu\u2019entre 1 et 3 % de la charge et que les utilisateurs ne vont m\u00eame pas remarquer la pr\u00e9sence du SDK et ne seront pas d\u00e9rang\u00e9s. X-Mode explique aussi qu\u2019en collectant les donn\u00e9es de cette fa\u00e7on son action est \u00ab\u00a0indubitablement l\u00e9gale\u00a0\u00bb et que le SDK est pleinement conforme au RGPD.<\/p>\n\n

Existe-t-il beaucoup d\u2019applications de tra\u00e7age de la position ?<\/h2>\n

Raiu s\u2019est alors demand\u00e9 si lui aussi<\/em> \u00e9tait suivi de cette fa\u00e7on. Pour le savoir, il devait tout simplement identifier les adresses des serveurs de commande et de contr\u00f4le (C&C)<\/a> utilis\u00e9s par le SDK de tra\u00e7age et surveiller le trafic r\u00e9seau sortant de son dispositif. Si une des applications install\u00e9es sur son smartphone communiquait avec un des serveurs alors cela signifiait qu\u2019il \u00e9tait suivi. Pour accomplir cette t\u00e2che, Raiu devait conna\u00eetre les adresses du serveur. Il a d\u00e9cid\u00e9 d\u2019utiliser ces recherches pour son intervention au SAS@home<\/a> de cette ann\u00e9e.<\/p>\n

Apr\u00e8s un peu d\u2019ing\u00e9nierie inverse, de conjecture, de d\u00e9chiffrement et de t\u00e2tonnement, il les a trouv\u00e9es et a \u00e9crit un code qui lui permettait de savoir si une application essayait d\u2019y acc\u00e9der. En r\u00e9sum\u00e9, il a d\u00e9couvert que si une application a une certaine ligne de code alors elle utilise le SDK de tra\u00e7age.<\/p>\n

Raiu a trouv\u00e9 plus de 240 applications diff\u00e9rentes qui ont le SDK. Au total, ces applications ont \u00e9t\u00e9 install\u00e9es plus de 500 millions de fois. Si on part du principe qu\u2019un utilisateur moyen n\u2019installe l\u2019application qu\u2019une seule fois alors 1 personne sur 16 dans le monde entier a install\u00e9 une application de ce genre sur son dispositif. C\u2019est\u2026 \u00e9norme. La probabilit\u00e9 que vous soyez affect\u00e9 est, sans surprise, de 1\/16.<\/p>\n

De plus, X-Mode n\u2019est qu\u2019une des dizaines d\u2019entreprises de ce secteur.<\/p>\n

De plus, n\u2019importe quelle application peut contenir plus d\u2019un SDK. Par exemple, alors que Raiu analysait une application qui avait le SDK de X-Mode, il a d\u00e9couvert cinq composants d\u2019autres entreprises qui collectaient aussi des donn\u00e9es de localisation. \u00c9videmment, le d\u00e9veloppeur essaie d\u2019obtenir le plus d\u2019argent possible gr\u00e2ce \u00e0 son application, d\u2019autant qu\u2019il s\u2019agissait d\u2019une application payante. Malheureusement, ce n\u2019est pas parce que vous payez pour une application que les cr\u00e9ateurs n\u2019essaient pas d\u2019obtenir encore plus<\/em> de b\u00e9n\u00e9fices.<\/p>\n

Que faire pour \u00e9viter d\u2019\u00eatre suivi ?<\/h2>\n

Le probl\u00e8me avec les SDK de tra\u00e7age est que, lorsque vous t\u00e9l\u00e9chargez une application, vous ne savez pas si elle contient des composants permettant le suivi de votre localisation. L\u2019application peut avoir de tr\u00e8s bonnes raisons pour demander \u00e0 conna\u00eetre votre position, et de nombreuses applications d\u00e9pendent de la localisation pour bien fonctionner. Pourtant, ces m\u00eames applications peuvent aussi vendre vos donn\u00e9es de localisation. C\u2019est difficile \u00e0 dire.<\/p>\n

Pour aider les technophiles \u00e0 r\u00e9duire le risque d\u2019\u00eatre suivis, Raiu a cr\u00e9\u00e9 une liste des serveurs C&C que les SDK de tra\u00e7age utilisent. Vous la trouverez sur sa page personnelle GitHub<\/a>. Un ordinateur RaspberryPi sur lequel sont install\u00e9s les programmes Pi-hole et WireGuard peut vous aider \u00e0 surveiller le trafic de votre r\u00e9seau domestique et r\u00e9v\u00e9ler les applications qui essaient de contacter ces serveurs.<\/p>\n

Il est fort probable que cette m\u00e9thode d\u00e9passe les comp\u00e9tences technologiques de la plupart des utilisateurs. Pour r\u00e9duire le risque d\u2019\u00eatre suivi par ces applications et ces services, vous devez limiter les autorisations donn\u00e9es aux applications.<\/p>\n