Des apps se font passer pour Telegram ou WeChat pour mieux vous traquer

 
Le spécialiste de la cybersécurité ExpressVPN a passé au crible 450 applications. Toutes sans exception contiennent des traqueurs de localisation qui partagent vos données. Notamment des apps qui veulent tromper votre vigilance en prenant la forme de services populaires.
Attention aux apps que vous utilisez
Attention aux apps que vous utilisez // Source : Image par Dean Moriarty de Pixabay

Savoir qui vous êtes, où vous êtes et ce que vous y faites. C’est une manne d’informations qui se négocient aujourd’hui à prix d’or, et pas toujours avec votre consentement. Car pour vous soustraire ces données, les applications sont (presque) prêtes à tous les subterfuges. Le plus simple utilisé ? Le traqueur intégré qui vous piste en permanence, même au sein d’applications où vous vous y attendez le moins.

Lancé en octobre dernier, le Digital Security Lab d’ExpressVPN a rendu son tout premier rapport sur une première salve d’applications analysées pour y déceler d’éventuelles menaces. Un rapport rédigé conjointement avec la Defensive Lab Agency. Et le moins que l’on peut dire, c’est que le rapport a de quoi être dense : au total, 450 applications ont été passées au crible, soit un total de plus de 1,7 milliard de téléchargements à travers le monde. Et toutes contiennent des traqueurs douteux en tous genres.

187 millions de téléchargements d’apps trompeuses

Dans le lot, les chercheurs ont surtout repéré 42 apps de messageries, téléchargées plus de 187 millions de fois, qui embarquent des traqueurs de localisation. Mais surtout, bon nombre d’entre elles usurpent l’identité de services populaires comme Facebook Messenger, WeChat ou Telegram en reprenant leur design, voire leur nom et leur logo pour tromper les utilisateurs.

Parmi les entreprises repérées récupérant des données de localisation par le biais d’apps de messagerie, on trouve notamment Predicio et X-Mode. La première, une entreprise française, a été impliquée par le passé dans plusieurs scandales autour des données privées. ExpressVPN a trouvé trace de ses traqueurs dans 27 des 450 applications étudiées. Mais ce n’est rien à côté de X-Mode, un courtier de données qui revend sa base. Celui-ci apparaît dans 199 apps, pour plus d’un milliard de téléchargements. Les traqueurs SDK et solutions de X-Mode ont retrouvé dans 10 apps d’ordre religieux et culturel.

Schéma de tracking à travers les apps téléchargées
Schéma de tracking à travers les apps téléchargées // Source : ExpressVPN

Une situation inattendue puisqu’Apple comme Google ont demandé fin 2020 à leurs développeurs de ne plus utiliser X-Mode qui a été retiré des stores et outils à disposition. Mais, note ExpressVPN, seulement 10 % des applications ont été supprimées du Google Play Store.

Autre entreprise mise à l’index et même poursuivie par Facebook pour violation de la vie privée, OneAudience. Pourtant, ExpressVPN a trouvé des références dans 167 apps analysées (37 %).

Des infos partagées avec des organismes judiciaires et militaires

Les applications de rencontres sont l’autre domaine dans lequel les chercheurs ont repéré le plus de traqueurs pistant des utilisateurs bien précis. « L’une des choses les plus surprenantes de nos observations concerne le nombre d’applications de réseaux sociaux et de rencontres qui ciblent différents types de groupes démographiques. Quels que soient votre parcours, vos préférences sexuelles ou en matière de rencontres, il existe une application prête à vous espionner”, souligne Sean O’Brien, chercheur en cybersécurité chez ExpressVPN.

Des applications ciblant des groupes nationaux, ethniques et raciaux, notamment les musulmans, sont particulièrement actives dans le tracking des utilisateurs. « Les applications de rencontres et sociales ciblant une gamme d’orientations sexuelles et de préférences de rencontres constituent 64 des 450 applications que nous avons analysées, avec au moins 52 millions de téléchargements », explique Sean O’Brien qui ajoute que le partage de données avec les entreprises derrière ces traqueurs de localisation a été constant. Et certaines informations obtenues ont même été partagées avec des organismes judiciaires, militaires ou du renseignement.

Fidme, l’app de cartes de fidélité qui vous traque en magasin

Dans la longue liste des 450 apps étudiées, la populaire application Fidme, entreprise française proposant un service pour stocker ses cartes de fidélité en tous genres et obtenir des bons, contient 12 traqueurs différents dont un pour le profilage et un autre pour la localisation. Cela permettra notamment de savoir dans quel magasin vous vous trouvez et d’établir ainsi votre « profil » d’acheteur. Elle a été téléchargée plus d’un million de fois.

L’app France TV : direct & replay s’intéresse aussi à votre position. Ce qui peut paraître inutile au vu de l’usage de l’application. C’est sur ce point que les chercheurs alertent, recommandant de toujours dire non lorsqu’une app vous demande votre position alors que cela n’a aucun effet sur l’usage.

À ce jour, le Digital Security Lab explique que 305 apps sont toujours disponibles avec leurs traqueurs dans les deux stores, malgré notamment la nouvelle politique d’Apple qui exige de ses développeurs d’être transparents sur l’utilisation des données et des traqueurs.

Pour aller plus loin
Quel est le meilleur VPN en 2024 ?


Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !