Intelligence artificielle Retour sur le lauréat du Prix CNIL-INRIA pour la protection de la...

Pour approfondir le sujet

Sur le même thème :

Criteo et Inria annoncent un partenariat stratégique pour le développement d’une IA responsable

Ce 31 mars, Criteo, entreprise technologique internationale qui fournit la première Commerce Media Platform au monde, a annoncé un partenariat de recherche de cinq ans...

Retour sur le premier bilan des 3IA sur la recherche, la formation et le développement économique

Le 29 mars 2018, lors de la journée "AI for Humanity", Emmanuel Macron annonçait la "Stratégie nationale pour l'intelligence artificielle", inspirée du rapport de...

INRIA et l’Université de Rennes 1 annoncent la création du «Centre Inria de l’Université de Rennes»

INRIA et l'Université de Rennes 1 collaborent depuis 1980, année où le Centre Rennes-Bretagne Atlantique a été créé. Mercredi 19 janvier dernier, les deux...

Retour sur les trois lauréats des Prix Inria scientifiques 2021 : Jean-Bernard Lasserre, l’équipe CONVECS et Serena Villata

Instaurés en 2011, les Prix INRIA ont pour vocation de promouvoir les contributions et succès de celles et ceux qui font avancer les sciences...

Retour sur le lauréat du Prix CNIL-INRIA pour la protection de la vie privée

Fin mai, François Pelligrini et Mathieu Cunche, co-présidents du Jury du Prix CNIL-Inria, ont remis le prix pour la protection de la vie privée à une équipe de recherche hispano-américaine pour leur article « 50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System » Présenté lors de la conférence Unsenix Security en 2019, cette étude analyse minutieusement  les façons dont les applications sur Android contournent les protections mises en place par le système d’exploitation et accèdent ainsi à des informations à l’insu des utilisateurs, voire à l’encontre de leurs choix.

Bien que les plateformes de smartphones mettent en œuvre des modèles basés sur les autorisations pour protéger l’accès aux données sensibles et aux ressources système, les applications peuvent les contourner et ainsi accéder aux données protégées sans le consentement de l’utilisateur en utilisant à la fois des canaux secrets et secondaires.

Lauréat du Prix CNIL-Inria 2021, « 50 Ways to Leak Your Data : An Exploration of Apps’ Circumvention of the Android Permissions System » dévoile comment certaines applications contournent activement le système de permissions d’Android pour accéder aux données sensibles des utilisateurs.

Joel Reardon, l’un des auteurs de l’étude, raconte :

« Mon exemple préféré vient d’OpenX. Ils avaient un bloc de code qui était vraiment stupéfiant, parce que non obfusqué, ce qui me permettait de le lire. Il vérifiait d’abord si l’utilisateur avait la permission d’accéder à l’adresse MAC du routeur. Si l’utilisateur pouvait accéder à l’adresse MAC du routeur, il le faisait de la manière correcte. Mais si vous n’aviez pas la permission d’accéder à l’adresse MAC, il le remarquait et appelait une autre fonction, intitulée getMacAddressFromARP, qui exploitait le fait que la même information est disponible dans le cache ARP du système. Au lieu de signaler la vulnérabilité à Google et d’y remédier, OpenX l’a exploitée – uniquement lorsqu’elle n’avait pas la permission de l’obtenir légitimement. »

Selon les auteurs de l’étude, deux sortes de données étaient principalement visées : les identifiants persistants et les données de géolocalisation.

Les identifiants persistants

Les identifiants persistants concernent les numéros de série ou un numéro de téléphone. Ces données sont souvent collectées par les sociétés de publicité, car elles leur permettent de prendre l’empreinte unique de l’appareil d’une personne dans toutes les applications qu’elle utilise, quel que soit l’endroit où elle l’utilise.

Joel Reardon assure :

« Bien que ces identifiants aient aujourd’hui tendance à être verrouillés grâce à divers types d’autorisations sécuritaires, des applications continuent à trouver des moyens astucieux de contourner ces autorisations, afin d’accéder aux données. »

Les données de géolocalisation

L’autre grand type de données visées est celui des données de localisation qui peuvent prendre la forme de coordonnées GPS précises, ou des adresses MAC ou SSID des routeurs.

Joel Reardon explique :

« Ces dernières ont tendance à avoir un certain nombre de canaux secondaires d’accès, uniquement parce que des choses comme les adresses MAC des routeurs n’ont jamais été censées être des secrets, ou représenter la localisation, mais le sont devenues progressivement. »

Alors que toutes ces données pourraient être légitimement collectées en demandant  simplement l’autorisation de le faire, cette appropriation illégitime de données pose problème puisqu’elle est de fait une violation fondamentale des notions de notification et de consentement.

Joel Reardon ajoute :

« Les applications fournissent une notification par le biais des demandes d’autorisation, et les utilisateurs donnent leur consentement en acceptant les conditions et en installant l’application. En ne demandant pas d’autorisation et en obtenant sournoisement les mêmes informations par un canal secondaire ou secret, les applications peuvent se présenter comme respectueuses de la vie privée et tromper les consommateurs. »

Un problème encore plus sérieux a été soulevé lors de cette étude : l’utilisation de ces identifiants persistants.

Joel Reardon affirme :

« Nous avons remarqué qu’un certain nombre d’applications enregistrent les numéros de série de l’appareil, comme l’adresse MAC ou l’IMEI, sur la carte SD afin que d’autres applications qui n’ont pas l’autorisation d’y accéder puissent les lire. »

Un impact significatif sur la protection des données personnelles.

L’équipe de chercheurs a rapidement signalé chaque faille à Google, via son programme de vulnérabilité, qui a développé des correctifs et les a publiés dans Android 10. D’autre part, l’article a également reçu le USENIX Security 2019 Distinguished Paper Award, et les données issues des résultats de recherche sont maintenant utilisées par plusieurs régulateurs, qui enquêtent activement sur plusieurs des entreprises responsables de ces pratiques trompeuses. La Federal Trade Commission a d’ailleurs entrepris une action contre Open en 2021.

Les résultats de l’étude ont été cités dans la troisième édition du livre Security Engineering de Ross Anderson, dans une partie consacrée aux problèmes de confidentialité et de sécurité associés aux canaux latéraux. Joel Reardon conclut :

« Je pense qu’une implication accrue de la réglementation est le seul moyen d’envoyer un message sur ce qui est inacceptable dans l’espace numérique, en particulier à mesure que les applications de téléphonie mobile deviennent plus étroitement liées à l’espace civique. »

Sources de l’article :

“50 façons de divulguer vos données : une exploration du contournement par les applications du système d’autorisations Android”

Auteurs:
Joel Reardon, Université de Calgary / AppCensus Inc.; Álvaro Feal, IMDEA Networks Institute / Universidad Carlos III Madrid ; Primal Wijesekera, UC Berkeley / ICSI ; Amit Elazari Bar On, UC Berkeley; Narseo Vallina-Rodriguez, IMDEA Networks Institute / ICSI / AppCensus Inc. ; Serge Egelman, UC Berkeley / ICSI / AppCensus In


1ère Marketplace de l'IA et de la transformation numérique vous recommande :
 
Marie-Claude Benoit

Partager l'article

META AI dévoile BlenderBot 3, un projet de recherche sur l’IA conversationnelle

Après avoir présenté BlenderBot en 2020, la mouture BlenderBot 2.0 en 2021, META a dévoilé BlenderBot 3 le 5 août dernier. Comme pour ses...

Reconnaissance faciale : la plateforme « From Numbers to Name » aide à identifier les victimes de l’Holocauste

Le deep learning est aujourd'hui utilisé dans de nombreux domaines, il l'est de plus en plus dans celui de l'histoire. Daniel Patt, un ingénieur...

Lancement de l’appel à candidatures de la phase V des pôles de compétitivité

Alors que la phase IV (2019-2022) des pôles de compétitivité prendra fin en décembre 2022, Bruno Le Maire, Ministre de l’Economie, des Finances et...

Focus sur SMART, programme de l’IARPA visant à identifier et surveiller les constructions à grande échelle grâce au machine learning

L'IARPA (Intelligence Advanced Research Projects Activity), la branche de recherche de la communauté du renseignement aux Etats-Unis, a lancé le programme SMART (Space-based Machine...
Recevoir une notification en cas d'actualité importante    OK Non merci