Fin mai, François Pelligrini et Mathieu Cunche, co-présidents du Jury du Prix CNIL-Inria, ont remis le prix pour la protection de la vie privée à une équipe de recherche hispano-américaine pour leur article « 50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System » Présenté lors de la conférence Unsenix Security en 2019, cette étude analyse minutieusement les façons dont les applications sur Android contournent les protections mises en place par le système d’exploitation et accèdent ainsi à des informations à l’insu des utilisateurs, voire à l’encontre de leurs choix.
Bien que les plateformes de smartphones mettent en œuvre des modèles basés sur les autorisations pour protéger l’accès aux données sensibles et aux ressources système, les applications peuvent les contourner et ainsi accéder aux données protégées sans le consentement de l’utilisateur en utilisant à la fois des canaux secrets et secondaires.
Lauréat du Prix CNIL-Inria 2021, « 50 Ways to Leak Your Data : An Exploration of Apps’ Circumvention of the Android Permissions System » dévoile comment certaines applications contournent activement le système de permissions d’Android pour accéder aux données sensibles des utilisateurs.
Joel Reardon, l’un des auteurs de l’étude, raconte :
« Mon exemple préféré vient d’OpenX. Ils avaient un bloc de code qui était vraiment stupéfiant, parce que non obfusqué, ce qui me permettait de le lire. Il vérifiait d’abord si l’utilisateur avait la permission d’accéder à l’adresse MAC du routeur. Si l’utilisateur pouvait accéder à l’adresse MAC du routeur, il le faisait de la manière correcte. Mais si vous n’aviez pas la permission d’accéder à l’adresse MAC, il le remarquait et appelait une autre fonction, intitulée getMacAddressFromARP, qui exploitait le fait que la même information est disponible dans le cache ARP du système. Au lieu de signaler la vulnérabilité à Google et d’y remédier, OpenX l’a exploitée – uniquement lorsqu’elle n’avait pas la permission de l’obtenir légitimement. »
Selon les auteurs de l’étude, deux sortes de données étaient principalement visées : les identifiants persistants et les données de géolocalisation.
Les identifiants persistants
Les identifiants persistants concernent les numéros de série ou un numéro de téléphone. Ces données sont souvent collectées par les sociétés de publicité, car elles leur permettent de prendre l’empreinte unique de l’appareil d’une personne dans toutes les applications qu’elle utilise, quel que soit l’endroit où elle l’utilise.
Joel Reardon assure :
« Bien que ces identifiants aient aujourd’hui tendance à être verrouillés grâce à divers types d’autorisations sécuritaires, des applications continuent à trouver des moyens astucieux de contourner ces autorisations, afin d’accéder aux données. »
Les données de géolocalisation
L’autre grand type de données visées est celui des données de localisation qui peuvent prendre la forme de coordonnées GPS précises, ou des adresses MAC ou SSID des routeurs.
Joel Reardon explique :
« Ces dernières ont tendance à avoir un certain nombre de canaux secondaires d’accès, uniquement parce que des choses comme les adresses MAC des routeurs n’ont jamais été censées être des secrets, ou représenter la localisation, mais le sont devenues progressivement. »
Alors que toutes ces données pourraient être légitimement collectées en demandant simplement l’autorisation de le faire, cette appropriation illégitime de données pose problème puisqu’elle est de fait une violation fondamentale des notions de notification et de consentement.
Joel Reardon ajoute :
« Les applications fournissent une notification par le biais des demandes d’autorisation, et les utilisateurs donnent leur consentement en acceptant les conditions et en installant l’application. En ne demandant pas d’autorisation et en obtenant sournoisement les mêmes informations par un canal secondaire ou secret, les applications peuvent se présenter comme respectueuses de la vie privée et tromper les consommateurs. »
Un problème encore plus sérieux a été soulevé lors de cette étude : l’utilisation de ces identifiants persistants.
Joel Reardon affirme :
« Nous avons remarqué qu’un certain nombre d’applications enregistrent les numéros de série de l’appareil, comme l’adresse MAC ou l’IMEI, sur la carte SD afin que d’autres applications qui n’ont pas l’autorisation d’y accéder puissent les lire. »
Un impact significatif sur la protection des données personnelles.
L’équipe de chercheurs a rapidement signalé chaque faille à Google, via son programme de vulnérabilité, qui a développé des correctifs et les a publiés dans Android 10. D’autre part, l’article a également reçu le USENIX Security 2019 Distinguished Paper Award, et les données issues des résultats de recherche sont maintenant utilisées par plusieurs régulateurs, qui enquêtent activement sur plusieurs des entreprises responsables de ces pratiques trompeuses. La Federal Trade Commission a d’ailleurs entrepris une action contre Open en 2021.
Les résultats de l’étude ont été cités dans la troisième édition du livre Security Engineering de Ross Anderson, dans une partie consacrée aux problèmes de confidentialité et de sécurité associés aux canaux latéraux. Joel Reardon conclut :
« Je pense qu’une implication accrue de la réglementation est le seul moyen d’envoyer un message sur ce qui est inacceptable dans l’espace numérique, en particulier à mesure que les applications de téléphonie mobile deviennent plus étroitement liées à l’espace civique. »
Sources de l’article :
“50 façons de divulguer vos données : une exploration du contournement par les applications du système d’autorisations Android”
Auteurs:
Joel Reardon, Université de Calgary / AppCensus Inc.; Álvaro Feal, IMDEA Networks Institute / Universidad Carlos III Madrid ; Primal Wijesekera, UC Berkeley / ICSI ; Amit Elazari Bar On, UC Berkeley; Narseo Vallina-Rodriguez, IMDEA Networks Institute / ICSI / AppCensus Inc. ; Serge Egelman, UC Berkeley / ICSI / AppCensus In
