Lise, 75 ans, prépare son voyage en ligne et télécharge des applications pour réserver des vols et des hôtels. Sait-elle que de nombreuses données la concernant seront peut-être partagées à son insu?
Les aînés seraient plus à risque avec les applications de leur téléphone, alerte une récente étude québécoise. Ils sont plus enclins à laisser leurs coordonnées personnelles visibles dans les applications, ils sont « moins méfiants, ce qui en fait une cible de choix pour les attaques contre la sécurité et la vie privée », relève Pranay Kapoor, étudiant à l’Institut d’ingénierie des systèmes d’information de l’Université Concordia et premier auteur de l’étude.
Ces applications très utiles traitent de nombreuses données privées, comme les rapports médicaux, la localisation en direct et les informations personnelles identifiables (IPI).
Les chercheurs ont testé 146 applications d’Android sur le portail Google Play —allant des applications de compagnon de pilulier jusqu’aux applications de rencontres pour personnes âgées. Ils ont découvert que les deux tiers (95) ne protègent pas suffisamment les renseignements personnels.
Leur analyse met en lumière de nombreux problèmes de sécurité et de confidentialité, susceptibles d’entraîner la fuite d’informations privées mais aussi de permettre à des personnes malveillantes d’accéder aux données des utilisateurs.
« C’est important de mieux comprendre comment les données médicales d’une personne âgée peuvent être divulguées à partir d’une application-compagnon de pilulier ou comment un attaquant peut exploiter un problème de bas niveau pour mener une attaque spécialisée contre l’utilisateur », détaille le chercheur.
Près de 15 applications permettent la prise de contrôle complète d’un compte et neuf applications ont un contrôle de validation incorrect – cela permet à certains pirates l’accès libre pour vider la base de données de ses informations sensibles.
Certaines applications envoyaient le nom d’utilisateur, le mot de passe et d’autres informations critiques, en clair. Dans trois applications, une personne mal intentionnée aurait pu obtenir des informations personnelles et sensibles, comme le numéro de téléphone, les adresses du domicile et du lieu de travail. « Juste en modifiant quelques paramètres », poursuit Pranay Kapoor.
Dans une application de pilulier, les chercheurs ont trouvé une vulnérabilité dans l’entrée de code à distance. Ce problème, selon les chercheurs, pourrait conduire à une compromission des fonctionnalités de l’application. En clair, « un attaquant pourrait modifier les alertes pour la pilule de l’utilisateur, comme l’heure à laquelle elle doit être prise, la fréquence, la quantité et ainsi de suite », détaille M. Kapoor.
Un manque de méfiance
Mais au-delà des questions techniques, ce qui cause problème, c’est aussi le comportement des personnes concernées.
« Les personnes âgées devraient faire moins confiance, voire ne faire confiance à personne, en ce qui concerne le partage de leurs informations personnelles sur n’importe quel appareil électronique », souligne le chercheur.
Du côté de la technique, il s’agit de problèmes facilement ajustables, pense-t-il. La plupart de ces problèmes pourraient être résolus si les développeurs utilisaient simplement les normes de sécurité de base.
Par exemple, les développeurs pourraient utiliser HTTPS — où les données sont encodées et sécurisées sur le réseau — au lieu de HTTP, où les données sont en clair sur le réseau.
« Et les entreprises devraient consacrer plus d’efforts à tester leurs applications, c’est à ce stade que la plupart des bogues/problèmes peuvent être découverts », ajoute le chercheur.
C’est jusqu’aux universités qui, selon lui, pourraient imposer, dans leurs cours d’informatique, un état d’esprit et une culture de la sécurité et de la protection de la vie privée, pour s’assurer que leurs étudiants deviennent des développeurs responsables.
Sensibiliser à la cybersécurité
Un incident personnel a motivé le chercheur : sa grand-mère a été victime d’une arnaque. « Lorsqu’un utilisateur donne un « smartphone » à un proche âgé, il doit veiller à lui expliquer, pas seulement comment fonctionne cet appareil, mais quels en sont les dangers. Il faut expliquer à quoi ressemble un message d’hameçonnage, pour éviter qu’elle ne se fasse escroquer. Et lui dire qu’on ne doit pas fournir d’informations personnelles en ligne ou dans les applications, sauf quand c’est absolument nécessaire. »
Même des informations de base comme la ville ou le prénom peuvent être utilisées par les attaquants pour établir le profil de leur victime avant de mener une attaque. « Cela fait partie de la phase de reconnaissance avant une attaque. Et les utilisateurs ne doivent télécharger que des applications provenant de sources fiables: Google Play et Apple App store sont les deux principaux magasins d’applications fiables », ajoute le chercheur.
Les chercheurs espèrent que leurs travaux sensibiliseront les aînés et leurs proches aux risques pour la sécurité et la vie privée. Ils veulent également que cela incite les développeurs à renforcer leurs mesures défensives.
Des concepteurs négligents
« Aucune application ne passe les tests de sécurité. Il est incroyable que tant de données à tous les niveaux ne soient pas codées par les applications, ce qui laisse la porte ouverte aux malversations », commente Hélène Pigot, du Laboratoire DOMUS du Département d’informatique de la Faculté des sciences de l’Université de Sherbrooke.
Alors que l’on pourrait penser que les concepteurs prennent des précautions élémentaires, « plus de 10 de ces applications ne contiennent aucune précaution pour préserver la confidentialité des données et les risques d’usurper les utilisateurs. Il est affolant de voir autant d’applications envoyer des informations sensibles uniquement en message texte non codé », poursuit l’experte.
Elle souligne la rigueur de la méthodologie pour définir les failles de sécurité de l’application, y compris sur le téléphone lui-même, et pour tester les applications. « Il est intéressant de noter que les auteurs de l’article sont conscients des enjeux éthiques qu’ils soulèvent. »
Hélène Pigot souligne toutefois quelques bémols. « Il est dommage que peu soit dit sur les applications qui n’ont pas pu être testées du fait d’une identification que les auteurs ne pouvaient pas donner : seraient-elles alors plus fiables? Les définitions de « Security and privacy » ne sont pas données, par contre les failles sont clairement établies. »
Elle reproche aussi la timidité de la conclusion : « il y a un réel enjeu dont les auteurs ne veulent pas se saisir. Ils font seulement un état des lieux. L’étape suivante serait d’établir des moyens pour qu’au minimum, les personnes âgées soient au courant et pour que les applications respectent des normes de sécurité. »
