Points de vue

Et si votre application préférée servait à diffuser une propagande ?

Byron Acohido, 25 janvier 2021

Les pirates recourent à des procédés publicitaires pour diffuser des fausses nouvelles à des fins politiques

Comment a-t-on pu atteindre un tel niveau de désinformation ? Comment les citoyens d’un pays comme les États-Unis peuvent-ils être aussi divisés ?

On serait tenté de rejeter la faute sur l’incompétence des dirigeants politiques et sur la corruption des médias. Mais ce ne n’est que la partie émergée de l’iceberg.

On pourrait aussi parler de la cyberguerre, un composant discret qui ne reçoit pas l’attention qu’il mérite. Des groupes de hackers russes essaient de déstabiliser les processus des démocraties occidentales. Et ils s’en sortent plutôt bien. On dispose de nombreuses preuves sur l’intensification méthodique des cyberattaques de la Russie pour gagner un avantage stratégique sur l’Amérique du Nord et l’Europe.

L’actualité du monde de la cybersécurité ne me surprend plus beaucoup ces temps-ci. Une récente nouvelle m’a cependant bouleversé. Un site de mème populaire, iFunny, s’est révélé être un repaire d’adolescents en colère et fascinés par la suprématie blanche. Développé par une entreprise russe en 2011, iFunny a été téléchargé environ 10 millions de fois sur iOS et Android.

Peu avant l’élection présidentielle américaine de 2020, des enquêteurs de Pixalate – entreprise de détection et de prévention de la fraude publicitaire basée à Palo Alto (Californie) – ont documenté comment iFunny a distribué des malwares de vol de données en ciblant les utilisateurs de smartphones dans les États clés de Pennsylvanie, du Michigan et du Wisconsin. Le public ne saura probablement jamais qui a commandé cette campagne, ni ce qu’elle a fait – ou prévoit de faire – avec ces précieuses données volées.

Utilisation de pratiques de publicité ciblée

Malgré tout, ces données de Pixalate en disent long. Cela montre clairement comment les acteurs menaçants ont développé le piratage d’applications mobiles vulnérables. Avec leur piètre niveau de sécurité, les applications mobiles constituent un vecteur d’attaque toujours plus important. Écartées plus vite que jamais du processus de développement, elles ne sont généralement pas traitées selon les meilleures pratiques de sécurité. Malgré leurs failles de sécurité béantes, elles sont sur les téléphones et entre les mains de tous les utilisateurs. De plus, ces vulnérabilités se marient parfaitement avec la diffusion de fausses nouvelles.

Les pourvoyeurs d’infox en sont bien conscients. Ils se sont mis à diffuser des malwares de vol de données via des applications vulnérables. Ils ont découvert qu’il s'agissait d’un moyen facile de collecter des données comportementales pour créer le profil précis d’utilisateurs et tout savoir sur leurs goûts, leurs habitudes numériques et leurs contacts (famille, amis, collègues...).

En procédant ainsi, les attaquants ne font que s’inspirer de vieilles pratiques publicitaires. Les professionnels de la publicité en ligne, en particulier, réalisent depuis longtemps ce type de profilage basé sur l’empreinte digitale numérique. Leur objectif est d’identifier et de cibler des groupes d’individus ayant des caractéristiques communes, puis de leur adresser un contenu censé influencer leurs comportements. Les propagandistes ont exactement le même objectif. Il n’est donc pas étonnant qu’ils appliquent les outils et procédés utilisés pour vendre des friteuses ou des hypothèques inversées pour diaboliser des minorités, contester le réchauffement climatique et saboter l’intégrité d’élections.

En substance, les agents de la cyberguerre ont compris comment se servir d’Internet pour appliquer les ruses psychologiques mises au point par l’industrie de la publicité. De même, ils se servent de l’infrastructure publicitaire des applications mobiles, largement ouverte et décentralisée, pour rassembler des groupes d’individus ayant des idées en commun et susciter des comportements. 

Génération de fausses publicités, récolte de profils d’utilisateurs

iFunny est passé inaperçu jusqu’en août 2019, lorsque deux hommes ont été arrêtés par le FBI : un homme de 18 ans, de l’Ohio, pour avoir menacé de tirer sur des agents des forces de l’ordre fédérales, et un homme de 19 ans, de Chicago, pour avoir menacé de tuer les patients et employés d’un centre de santé reproductive. Ces deux menaces ont été publiées sur iFunny.

En surface, iFunny ressemble à n’importe quel site de mèmes, comme Reddit ou 9GAG. Mais en y regardant de plus près, Ryan Broderick, journaliste pour BuzzFeed, a découvert un terrain de rassemblement propice au nationalisme blanc, hanté principalement par de jeunes hommes révoltés. Une source a guidé Broderick vers deux forums très actifs d’iFunny (6 000 et 9 000 abonnés). Tous deux regorgent de mèmes sur la propagande néo-nazie « hardcore » et prônent la violence armée et les tireurs de masse, sources de radicalisation.

Début 2020, les analystes en sécurité de Pixalate ont identifié un puissant malware (logiciel malveillant). Celui-ci se diffusait dans des publicités d’apparence normale et automatiquement envoyées après l’installation d’iFunny sur un smartphone iOS ou Android. Ils l’ont baptisé « Matryoshka », en référence aux poupées russes. L’annonce infectée s’introduisait via l’infrastructure normale de distribution de l’annonce. Le malware transportait une charge utile en deux parties. Tout d’abord, il exécutait silencieusement de fausses publicités sur le téléphone de la victime pour générer des paiements publicitaires aux attaquants. Ensuite, il commençait à extraire scrupuleusement les données d’identification et de profilage de chaque téléphone.

Les attaquants ont réussi à installer Matryoshka sur au moins 2 millions de téléphones iOS et Android. Selon Pixalate, ils ont fait beaucoup de profit auprès des annonceurs : quelque 10 millions de dollars pour de fausses publicités. Plus alarmant encore, ils ont également collecté des données personnelles précises et des données sur le comportement utilisateur de chaque téléphone infecté. Ils peuvent donc faire ce qu’ils veulent avec ces informations de profil d’utilisateur : les exploiter, les partager ou les vendre.

Les analystes en sécurité de Pixalate ont aussi documenté comment, dans les semaines précédant l’élection présidentielle américaine, les attaquants se sont concentrés sur la diffusion disproportionnée de Matryoshka chez les utilisateurs d’iFunny situés en Pennsylvanie, au Wisconsin et au Michigan. Nous ne saurons probablement jamais si les données personnelles et comportementales qu’ils ont volées aux utilisateurs de ces États clés ont eu un impact sur les dernières élections américaines. Mais une chose est certaine : rien ne les empêche d’exploiter ces données d’utilisateurs pour remplir leurs futurs objectifs, comme lancer d’autres campagnes de désinformation.

Diffusion de mensonges via de nouvelles connexions d’utilisateurs

Avec l’actualité du moment, l’évolution de la propagande numérique n’est pas une priorité pour nos dirigeants politiques. De fait, le hack iFunny n’est qu’un exemple parmi tant d’autres de cyberattaques qui pourraient, et devraient probablement, être classées comme attaques de cyberguerre asymétriques. Certains leaders d’opinion, comme Michael Rogers, ancien chef de la NSA et l’un des principaux conseillers en cybersécurité de la Maison Blanche sous la présidence d’Obama et de Trump, estiment que la guerre cybernétique doit être définie plus précisément pour tenir compte des différents types de dommages sociétaux tangibles.

Les deux dernières élections présidentielles des États-Unis peuvent largement étayer l’argumentation de Rogers. Selon Advertising Analytics, les dépenses en publicité numérique des candidats politiques ont battu des records, atteignant les 7 milliards de dollars pour le cycle électoral de 2019-2020. Cela s’est traduit par une augmentation de 150 % de la quantité de codes tiers se connectant avec les utilisateurs – et se croisant avec leurs activités en ligne.

Chacune de ces nouvelles connexions d’utilisateurs faites via une application mobile représente une opportunité de siphonner des informations de l’utilisateur et, à l’inverse, de lui communiquer des mensonges. Ces activités sont nombreuses, bien plus que le citoyen moyen ne le pense.

Avec la propagation de la Covid-19 et son impact sur l’économie mondiale, on a mis de côté toute réflexion sur la puissance qu’acquièrent les campagnes de désinformation, notamment sur les applications mobiles.

Le rôle d’Apple et de Google

Il est clair que les géants de la technologie et des télécommunications (surtout Apple et Google) doivent tout mettre en œuvre pour résoudre ce problème, et ils ont déjà commencé. Par exemple, Apple a récemment annoncé de nouvelles règles de confidentialité pour les développeurs d’applications iOS. La société a discrètement affirmé qu’avant de distribuer officiellement une application sur son App Store, ses développeurs devraient désormais expliquer de façon détaillée comment leur application collecterait des données et comment ces données seraient traitées. Ces nouvelles règles prendront effet le 8 décembre 2020.

De même, Google travaille sur de nouveaux outils et protocoles pour aider les développeurs d’applications Android à surveiller comment les données sensibles sont collectées, canalisées et partagées dans les nouvelles applications. Google n’a cependant pas fait savoir au public s’il envisageait d’imposer des règles, comme l’a fait Apple.

Faire le nécessaire

Apple et Google devraient certainement s’attaquer de front à ce problème. Si la désinformation en venait à provoquer l’effondrement de nos institutions démocratiques, le marché des technologies pour particuliers en serait profondément modifié. Et on ne sait pas comment une économie soumise à la dictature pourrait secouer les géants de la technologie et des télécommunications.

En attendant, en tant que citoyen, chacun d’entre nous a un rôle important à jouer. Il nous incombe de rester informés, de préserver au maximum notre vie privée et de faire entendre notre voix.


Articles reliés :
Par pitié, arrêtons de les appeler des « fake news »

Éradiquer les fake news : s’interroger avant de partager



Les citoyens doivent prendre conscience qu’ils sont constamment ciblés par des tiers malveillants. Ils ne peuvent donc pas partir du principe qu’une source fiable est digne de confiance, car cette source ne contrôle pas tout ce qui s’affiche sur son application ou domaine.

Nous vivons à une époque particulièrement délicate car notre santé physique et mentale est intimement liée à notre santé numérique. Prenez au moins toutes les mesures possibles pour assurer votre sécurité sur tous les fronts.


Avast est un leader mondial de la cybersécurité et de la protection de la vie privée avec des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre produits antivirus, anti-ransomware et de protection de la vie privée.