Apklab.io a découvert qu’une appli iranienne sur le COVID-19 recueillait des informations sensibles
Ce week-end, Nariman Gharib, un chercheur iranien, a signalé sur Twitter qu’il avait découvert qu’une appli sur le COVID-19 recueillait des données sensibles sur ses utilisateurs (notamment leur géolocalisation en temps réel) alors que sa fonction ne l’exigeait pas. Il a utilisé apklab.io, notre plateforme mobile d’intelligence des menaces, pour identifier les origines de l’appli et analyser les informations qu’elle collectait et renvoyait aux serveurs du développeur. D’après Gharib, le ministère iranien de la santé a envoyé un SMS aux Iraniens pour les encourager à installer l’appli permettant de déterminer s’ils présentaient des symptômes du coronavirus. Google a déjà pris des mesures et a supprimé l’appli du Play Store, car elle ne respecte pas ses conditions générales.
Le 10 mars, Gharib a tweeté qu’un employé du ministère de la santé iranien avait déclaré que l’appli n’avait pas été approuvée par son ministère, et que c’était le ministère de l’information et des technologies de communication qui l’avait développée. Gharib a aussi indiqué que le ministère de la santé iranien avait précisé le jour-même, dans le même tweet, que « personne n’a le droit de se procurer les informations personnelles d’utilisateurs ».
J’ai tout de même analysé l’appli et je peux confirmer les découvertes de Gharib : elle collecte bien plus d’informations que sa fonction ne le requiert. Elle demande d’abord à l’utilisateur son numéro de téléphone. Puis elle demande une autorisation pour accéder à sa position, afin de pouvoir indiquer l’hôpital le plus proche en cas d’infection par le virus. Cependant, elle demande aussi une autorisation pour accéder à la reconnaissance d’activité (activity_recognition), qui permet de détecter les mouvements de l’utilisateur (s’il est assis, marche ou court, par exemple). Cette autorisation est généralement utilisée par les applications de fitness pour suivre l’activité physique.
Des éléments trouvés dans le code révèlent que l’application a été développée par le même auteur que les applis de messagerie Talagram et Hotgram, toutes deux bannies du Google Play Store l’an dernier. D’après certaines informations, Talagram et Hotgram ont été développées pour le gouvernement iranien, qui les a présentées comme des alternatives à l’appli de messagerie Telegram, bannie dans le pays à cause de son fort chiffrement.
En plus d’envoyer la position exacte de l’utilisateur au serveur du développeur, l’appli envoie aussi les informations saisies par l’utilisateur (numéro de téléphone, genre, nom, taille, poids, etc.).
Précautions à prendre avant de télécharger une application
- Évitez de télécharger des applis en dehors des boutiques officielles. Les boutiques Google Play Store et App Store sont les deux options les plus sûres. En effet, elle vérifient les applications avant de les proposer aux utilisateurs, en s’assurant qu’elles sont conformes à leurs directives. Cela évite l’infiltration d’applications malveillantes sur leur marché.
- Vérifiez les autorisations demandées par l’application. Vous ne donneriez pas votre numéro de téléphone ou votre position exacte à un inconnu. Alors au moment d’installer une application, regardez les autorisations que vous lui accordez. Demandez-vous si les informations demandées sont utiles au bon fonctionnement de l’application. Si une application de retouche photo demande un accès à vos fichiers multimédias et photos, c’est normal. Mais est-ce qu’une appli visant à déterminer si vous avez le coronavirus a besoin de savoir si vous êtes assis ou debout ?
- Soyez conscient des arnaques qui existent. Les malfaiteurs s’appuient sur ce qui fait l’actualité, que ce soit des tendances à la mode ou des faits plus sérieux comme le coronavirus. Méfiez-vous des e-mails, SMS et sites Web qui proposent des conseils ou du soutien sur le coronavirus. Examinez-les minutieusement pour être sûr qu’ils sont dignes de confiance.
