L’éditeur de solutions de sécurité Bitdefender a publié mardi une étude très intéressante sur les applications de l’App Store, le magasin d’Apple pour iPhone et iPad, prétendument l’un des plus sécuritaires au monde. Ce texte montre notamment que des dizaines de milliers de programmes pourraient vous localiser sans que vous le sachiez, selon un communiqué qui fait froid dans le dos.
« Quasiment une application iOS sur cinq pouvait accéder au répertoire de votre iPhone, tandis que 41% d’entre elles pouvaient savoir où vous vous trouvez et que plus d’une sur trois stockait vos données sans les crypter », selon l’analyse de sécurité de Bitdefender. Plutôt ennuyeux, non lorsqu’on fait aveuglément confiance à la pomme?
Fonctionnalités pas requises
Encore plus inquiétant: « L’étude qui portait sur plus de 65 000 applications largement distribuées sur l’App Store a révélé que des dizaines de milliers d’entre elles exploitaient des informations sur les contacts, suivaient l’emplacement des utilisateurs et accédaient à des données sans avoir la permission explicite de ces mêmes utilisateurs», selon la société qui défend évidemment ses intérêts, peut-être faut-il le souligner.
Plus grave encore : «alors que de nombreuses applications utilisent clairement ces privilèges pour fonctionner, d’autres n’ont aucune raison évidente d’utiliser les données qu’elles recueillent, qu’elles proviennent du répertoire des utilisateurs ou du suivi de la localisation. Par défaut, les applications de l’App Store demandent uniquement la permission pour accéder à des services liés à la localisation géographique, et non lorsqu’elles accèdent au répertoire ou à d’autres fonctions», souligne Bitdefender.
Question de politique
Pour remettre ça en perspective, on reproche souvent à Android son manque de surveillance et le nombre de virus qui seraient présents dans le Google Play, le marché aux applications de Mountain View. Relevons toutefois que sur le système de Google, chaque application indique les services qu’elle va utiliser avant d’être installée, ce qui est beaucoup plus transparent et laisse le choix au consommateur averti.
Apple, de son côté, ne donne aucun détail sur les autorisations données aux développeurs. Il se contente de mener ses propres contrôles internes qui ne semblent pas des plus convaincants lorsqu’on parcoure les résultats de ce genre de recherche. La sécurité sur iOS semble bien être une chimère… Et on peut se demander si à la place de faire des procès à tour de bras à ses partenaires pour « copie », Apple ne ferait pas mieux de s’inspirer de leurs pratiques…
Xavier Studer
En savoir plus sur Le blog high-tech & telecom de Xavier Studer
Subscribe to get the latest posts sent to your email.
Ca sent le sujet polémique… Mais dans un sens ou dans l’autre, les politiques de Google et d’Apple sont problématiques.
Google s’est dit: on va être très ouvert mais empêcher de manière absolue tout appel au système sans passer par une phase obligatoire de validation par l’utilisateur. Le problème est donc l’utilisateur qui ne fait pas attention et qui ne lit, sans doute à 90%, jamais ce que l’application peut faire. Encore ne faut-il pas avoir rooté son téléphone et être passé par le Google Play (ou un site vraiment officiel).
Pour le second, fidèle à sa politique de cocooning de l’utilisateur, on n’ennuie pas ce dernier avec des demandes de validation, on vérifie tout à la source. Le problème cette fois, c’est qu’avec une bonne justification (et encore, quand Apple la demande) on peut toujours justifier de tout, et Apple n’a jamais été regardant sur ce que l’application faisait DANS son téléphone (tant qu’on touche pas aux fonctions systèmes) ils regardent principalement ce que l’utilisateur va voir, c’est ce qu’on appelle l’effet cosmétique. Et donc, si Apple regarde mal, il y a des trous de sécurités. Cela exclut bien entendu les téléphones jailbreaké!
Dans les deux cas, il y a un risque. La seule petite différence, quand même, est que sur Google on peut toujours savoir ce qu’une application fait, alors que sur Apple, jamais. Donc en réalité, un utilisateur google, attentif, fidèle au Google Play et non rooté ne devrait jamais être touché ni par des virus, ni par du piratage, là encore, en théorie 😉
Vous avez raison les deux systèmes ont leurs avantages et leur défauts.
Super Commentaire Alexandre, merci !
Dans iOS 6, certains points de confidentialités seront améliorés. Il sera possible de choisir, dans les préférences, si une App peut accéder ou non aux données suivantes : localisation, contacts, calendriers, rappels et photos. http://db.tt/gXUAfrDY et http://db.tt/GHR8u3m6
C’est fou quand même le retard d’Apple sur Android…
Sur certains points, dont celui de votre article, je suis d’accord avec vous. Cependant, il y a également des lacunes sur Android ou encore Windows Phone.
Comme vous le dites plus haut, chaque système à ses avantages et ses défauts.
Exact!
C’est fous le retard d’Androïd sur Apple qui sait toujours pas mettre à jour son dernier système sur des smartphones sortis en 2012 reléguant les anciens modèles à l’époque des cavernes par impossibilité de les mettre à jour…
Même sur Android 2.1 il est possible d’utiliser des widgets et autres formes de personnalisation avancées. Peut-être sous iOS 7 ou 8…
C’est fou le retard, même par rapport à de vieilles versions d’Android… Amazing!
tellement en avance que les mêmes problèmes ont été identifiés il y a quelques mois sur Android…http://www.androidauthority.com/3rd-party-android-app-privacy-issues-67669/
Ce ne sont pas les mêmes problèmes puisqu’avant d’installer une app. sur Android, les différents accès sont déclarés…
Fou ? non. Amazing? Not at all !
Voyons, Messieurs Dames, c’est dû tout bêtement à l’absence d’une pièce maîtresse au sein d’Apple, que sans cette pièces, Apple tombe en déliquescence, à savoir le fameux Steve Jobs !
Ben oui ! En l’absence de ce « messie » d’Apple, donc le Steve Jobs, Apple était tombé en déconfiture… Par conséquent l’I-phne prend forcément du retard sur son concurent Androïd… C’est évident !
Xavier, vous faites un article sur la sécurité et vous croyez sincèrement que le petit panneau d’information lors de l’installation d’une application sous Android ne peut pas être pris à défaut…sérieusement?? Déjà qu’il est pas lu par l’utilisateur, il est tout à fait possible de le prendre à défaut.
D’ailleurs je cite l’article que j’ai mis en lien: « However, some functions have slipped through the net. For example, one GPS function allows the ad to define a callback that is run whenever a user moves more than a short distance from their previous position. The user is never asked for their consent or notified about this behavior. »
allez un autre pour la route http://www.hindustantimes.com/technology/Technology-TechEvents/Hackers-develop-new-ways-to-attack-Android-phones/SP-Article1-895950.aspx
Ou comment une faille de chrome (corrigée depuis plusieurs mois) rend votre Android vulnérable parce que lui n’est pas patché depuis plusieurs mois le tout en utilisant la technologie si chère à Xavier: NFC ni vu ni connu on se fait piquer toutes ses données 😉
Ca montre encore uen fois combien toute une certaine propagande organisée autour d’apple peut être trompeuse
Une application comme https://play.google.com/store/apps/details?id=com.lbe.security.lite permet de laisser ou de retirer les droits pour chaque application. Intéressant de voir que certains jeux veulent connaitre votre localisation et qu’ils fonctionnent aussi sans cette autorisation !
Hélas, il faut avoir rooté son mobile.
En passant, histoire que les utilisateurs d’iOS se sentent moins seul… http://www.androidauthority.com/3rd-party-android-app-privacy-issues-67669/
(c’est marrant parce que la pluspart du temps ces infos perso sont utilisees pour da la pub ciblee…on devrait peut etre supprimer les pubs :D)
mouais, personnellement j’ai fais le deuil d’une certaine privacité depuis que je suis passé sur smartphone. Et je ne parle même pas du net. Il faut arrêter d’être naif, en lisant des sites informées, ces soucis sont le lot de tous les systèmes d’exploitation même si ce blogue prend ses parti pris habituels
C’est triste quand même de faire le deuil sur TA vie PRIVEE…..
Pauvre monde, ou va-t-on ??
une tout petite partie de ma vie privée et heureusement pas l’essentiel. Je pense qu’on se dévoile bcp plus avec les facebook & co auquel je n’adhère pas.
En fait, on pourrait résumer plus simplement le titre:
Le commerce est-il un nid à espion… et la réponse est oui.
Quand on pense aux cartes fidélités… Pas faux!
C’est le leurre du tout gratuit, rien n’est gratuit dans ce monde tout se paye ! Avec internet (et les apps) on paye en partageant nos données les plus privées,
Désolé de te contredire, mais IL existe des choses gratuites dans ce monde !!
Regarde les freeware de l’Open Source, les distrib Linux, les logiciels tels que GIMP, Komodo edit, etc..etc..etc…
Pour reprendre un de tes examples, Linux est gratuit pour toi pour moi, mais si d’autres ne payaient pas (en services principalement) il y a longtemps que cela n’existerai plus (il n’aurai pas évolué et n’aurai surement pas le « succès » qu’il a maintenant).
Enfin sur le sujet (rien n’est gratuit) on peut partir dans de grandes théories philosophiques … mais ce n’est pas le lieu je pense.
Et voilà que ça me donne une raison de plus de ne pas avoir encore acquis un smartphone, Android ou autre, déjà avec les prix pratiqués par les opérateurs….
@Christophe
Le problème est que la langue française est remplie de nuances.
Rien veut dire aucun, jamais dans aucun domaines et cela est faux à mon sens.
Certaines distrib Linux n’ont pas de support payant et sont gérées par une communauté qui offre son temps ou même parfois par une personne pour qui a réalisée un build gratuitement.
Fin du HS
C’est possible que comme moi tu n’ai jamais tord ? … sooooo fun ;0)
Bon, il faut aussi et encore souligner que sous Android, il y a:
1) des Firewall qui permettent de bloquer l’accès à Internet pour des apps intrustives; les jeux par exemple.
2) des gestionnaires de permission qui permettent de bloquer les permissions d’accès pour des apps un peu trop intrusives; LBE privacy guard par ex.
Il est vrai que ces apps de sécurité ne s’adressent peut-être pas au quidam moyen, et qu’elles demandent souvent un accès root, mais elles ont le mérite d’exister car Android EST un système ouvert.
Il n’y a pas le pendant sous IOS…
Quand est ce que les pommeux, seront assez honnêtes pour reconnaitre que pour l’instant Android EST le système le plus en avance ET le plus performant pour les mobiles???