211service.com
Comment les développeurs d'applications laissent la porte ouverte à la surveillance de la NSA
La nouvelle que la National Security Agency a collecté pendant des années des données personnelles provenant d'applications mobiles telles que Angry Birds a déclenché hier une nouvelle vague de bavardages sur l'étendue de la portée de la NSA. Cependant, la NSA et son équivalent britannique, le GCHQ, n'ont guère eu à innover techniquement pour récupérer ces données. Peu d'applications mobiles mettent en œuvre une technologie de cryptage pour protéger les données qu'elles envoient sur Internet, de sorte que les agences pourraient trivialement collecter et décoder ces données en utilisant leur accès existant aux réseaux Internet.
Documents vus et publiés par le New York Times et Gardien les journaux montrent que la NSA et le GCHQ peuvent collecter des informations telles que l'âge, l'emplacement et l'orientation sexuelle d'une personne à partir des données envoyées sur Internet par des applications. Ces données personnelles sont contenues dans les données que les applications renvoient aux entreprises qui les maintiennent et les soutiennent. Cela inclut les données envoyées aux entreprises qui diffusent et ciblent des publicités dans les applications mobiles.
C'est la preuve des niveaux d'insécurité négligents de la part des sociétés d'applications, selon Peter Eckersly , directeur de projets technologiques pour l'Electronic Frontier Foundation. Eckersly dit que ses efforts pour persuader les entreprises de trafic Web sécurisé montre un mépris généralisé pour les risques d'envoyer des données de personnes sur Internet sans protection contre l'interception. La plupart des entreprises n'ont aucune raison légitime de ne pas sécuriser ces données, déclare Eckersly. Souvent, la sécurité et la confidentialité de leurs utilisateurs sont si loin de la liste des priorités qu'ils n'ont même pas pensé à le faire.
À étude 2012 des 13 500 applications Android réalisées par des chercheurs en Allemagne ont constaté que seulement 0,8 % utilisaient exclusivement des connexions cryptées et que 43 % n'utilisaient aucun cryptage. La semaine dernière, la société de sécurité des applications mobiles MetaIntell signalé que 92% des 500 applications Android les plus populaires communiquaient certaines données de manière non sécurisée.
Il est souvent difficile de dire si une application utilise le cryptage ou non pour transmettre des données. Les navigateurs Web affichent une icône de cadenas à côté de l'adresse Web d'un site s'il utilise le cryptage, mais il n'y a pas d'équivalent pour les applications mobiles. Vérifier manuellement si une application mobile sécurise les transferts de données implique d'inspecter les journaux du réseau pour examiner comment une application se connecte aux serveurs.
Les documents publiés lundi pointent du doigt Google Maps comme fuite de données particulièrement utiles à des fins de surveillance. Des documents de la NSA et du GCHQ indiquent comment les requêtes de recherche interceptées à partir de cette application peuvent révéler les mouvements d'une personne. Un document de 2008 du GCHQ indique qu'un système mis en place pour intercepter ces données signifie effectivement que toute personne utilisant Google Maps sur un smartphone travaille à l'appui d'un G.C.H.Q. système.
Google a fait du cryptage la valeur par défaut pour sa recherche sur le Web en septembre dernier, mais ne révèle pas lesquelles de ses applications mobiles utilisent le cryptage. Un porte-parole de l'entreprise a déclaré Examen de la technologie du MIT que les versions actuelles de l'application Google Maps utilisent le cryptage pour protéger les données renvoyées aux serveurs de l'entreprise. Cela suggère que les agences de renseignement ne peuvent plus voir les endroits que les gens recherchent en interceptant le trafic Internet.
Les documents divulgués soulignent également comment la technologie de ciblage publicitaire intégrée à de nombreuses applications peut divulguer des informations personnelles. De nombreuses sociétés d'applications utilisent la technologie de sociétés de publicité tierces qui collectent et transmettent des données de suivi et de ciblage des publicités (voir Les sociétés de publicité mobile cherchent de nouvelles façons de vous suivre et se préparent pour les publicités qui vous suivent d'un appareil à l'autre ).
Ces données contiennent souvent des données de profil sur une personne, telles que le sexe, l'âge approximatif et l'emplacement. Un rapport du GCHQ de 2012 détaille la technologie conçue pour extraire de tels profils des données transmises par le jeu Angry Birds. L'analyse de MetaIntell de la version Android actuelle de cette application a révélé qu'elle envoie des données non cryptées à AdMob, la société de publicité mobile appartenant à Google. Le rapport 2012 distingue également la société de publicité Millénaire , qui compile des profils pouvant également inclure l'origine ethnique, l'état matrimonial et l'orientation sexuelle d'une personne. Un porte-parole de Millennial a déclaré Examen de la technologie du MIT que l'entreprise ne voit que les données que ses partenaires sont autorisés à collecter auprès de leurs utilisateurs et que les publicités ne sont pas ciblées en fonction de l'orientation sexuelle.
Les entreprises de technologie publicitaire telles que Millennial sont moins incitées à consacrer du temps à la protection des données qu'elles transmettent que les créateurs d'applications, car elles travaillent en coulisses. Les sociétés de publicité semblent particulièrement peu susceptibles d'utiliser le cryptage, selon un chercheur indépendant Ashkan Soltani . Il a contribué à une Sondage 2010 de la confidentialité et de la sécurité des applications mobiles par le le journal Wall Street qui a trouvé que la majorité des données envoyées par les applications n'étaient pas protégées par le cryptage. La plupart des plateformes publicitaires ne le prennent pas en charge.
Marc Rogers, chercheur principal en sécurité à la société de sécurité mobile Chercher , dit que les nouvelles de lundi pourraient aider à changer les choses. En tant qu'industrie, les développeurs d'applications mobiles et en particulier les annonceurs mobiles devront modifier leur compréhension de ce qui doit être considéré comme sensible pour inclure toute information personnelle envoyée par fil, dit-il.
Si cela ne se produit pas, ce ne sera pas à cause des charges techniques et financières. Avec l'état actuel de la technologie, aucune application mobile ne devrait être autorisée à déployer un cryptage approprié, déclare Rogers.