La Coupe du Monde de Football 2018 commence dans quelques jours. Pour cette occasion, nombreux sont les possesseurs de smartphones qui vont installer et utiliser des applications pour se tenir informés de l'événement, des résultats des équipes en compétition ainsi que pour regarder les matchs en streaming... Bien sûr cela peut paraître légitime puisqu'il s'agit de l'événement le plus suivi au monde. Pradeo, spécialiste de la sécurité mobile et de l'audit poussé d'applications mobiles vient de réaliser une étude sur 250 applications de ce genre (disponibles sur Google Play et AppStore), dont l'application Eurosport. Voici ce qu'il en ressort : ce n'est pas joli joli !
Des applications particulièrement intrusives et vulnérables
De manière générale, les applications testées par les chercheurs de Pradeo ont fait état de comportements particulièrement intrusifs. Il n'est pas étonnant que les éditeurs d'applications, parfois peu regardant, profite de l'engouement pour la Coupe du Monde pour récupérer de nombreuses informations. Mais ce n'est pas tout, ces applications sont également sujettes à de nombreuses vulnérabilités, dont certaines sont pourtant bien connue, notamment de l'OWASP (Open Web Application Security Project), une communauté libre et ouverte travaillant activement sur la sécurité des applications.
L'application Eurosport concernée
Il n'y a pas que des applications inconnues ou créées pour l'occasion qui ont retenu l'attention de Pradeo. Avec plus de 10 millions de téléchargements, l'application Eurosport a été auditée. Et le moins qu'on puisse dire est que le résultat est à la fois surprenant et alarmant, surtout en cette période de RGPD ou la confidentialité et la protection des données sont au cœur de tous les débats.
L'analyse de l'application Eurosport pour Android a permis de constater que la localisation de l'utilisateur est envoyée vers 18 serveurs distants ! Rien que cela. Mais ce n'est pas tout puisque en moyenne les autres données concernant le terminal de l'utilisateur et ses préférences sont envoyées à 14 serveurs. Mais à quoi servent ces données collectées ? Il s'avère que la majorité de ces serveurs proviennent de 8 librairies publicitaires. De quoi recevoir tout un tas de publicités ciblées... Enfin, 63 vulnérabilités ont été détectées dans l'application (dont 11 connues par l'OWASP).
Clairement, ces chiffres font peur non ? Personnellement, c'est une application que j'aurais pu installer sur mon smartphone, et comme la majorité des gens, je n'aurais pas fait attention à la politique de confidentialité de l'application... Je ne me serais donc pas rendu compte de cette fuite importante de données... Une chose est sûre, cette application ne connaîtra jamais mon smartphone 😆
Si vous souhaitez prendre connaissance de l'étude réalisée par Pradéo, je vous renvoie ici.
Partager la publication "Application Eurosport : Attention à vos données personnelles !!"