En coulisse
Vulnérabilité de WhatsApp - Son créateur parle d'un "problème fondamental de cryptographie".
par Dominik Bärlocher
Alerte sécurité: Meitu – l’appli catapulte vos données personnelles en Chine
20/1/2017
L’application chinoise Meitu embellit vos photos d’après les critères de beautés chinois – avec faste, kitch et des tons pastel. Et elle envoie des données personnelles en Chine sans y être invitée. Donc: n’installez pas l’appli ou désinstallez-la.
Le journal gratuit 20 minutes annonçait hier: «Raz de marée des filtres de l’app de selfie Meitu». Cet article parle de la fureur provoquée par l’application Meitu. Il y aura certainement un grand nombre de personnes qui téléchargeront l’application dans les prochains jours.
L’utilisateur qui télécharge l’application sur son téléphone prend des risques: sur son compte Twitter, le Security Researcher FourOctets a porté l’attention sur les brèches de sécurité suivantes
Comme Twitter fait maintenant partie des plates-formes d’échange dans le domaine InfoSec, la recherche a été lancée. Incrédule, Greg Linares poste le Tweet suivant: «Si j’ai bien compris, vous avez installé une application avec les permissions suivantes. Tenez-moi au courant de ce que cela donne.»
En français:
Historique de l'appareil et des applications
- Récupérer les applications en cours d'exécution
Données de localisation
- position approximative (réseau)
- position précise (basée sur GPS et réseau)
Téléphone
- voir l'état et l'identité du téléphone
Photos/multimédia/fichiers
- Lire le contenu de la mémoire de stockage USB
- Modifier ou supprimer le contenu de la mémoire de stockage USB
Espace de stockage
- Lire le contenu de la mémoire de stockage USB
- Modifier ou supprimer le contenu de la mémoire de stockage USB
Caméra
- prendre des photos et filmer des vidéos
- Informations relatives à la connexion Wi-Fi
- afficher les connexions Wi-Fi
Identifiant de l'appareil et informations relatives aux appels
- voir l'état et l'identité du téléphone
Autre
- recevoir des données depuis Internet
- afficher les connexions réseau
- modifier les paramètres d'affichage du système
- bénéficier d'un accès complet au réseau
- modifier vos paramètres audio
- s'exécuter au démarrage
- Réorganiser les applications en cours d'exécution
- contrôler le vibreur
- empêcher la mise en veille de l'appareil
- Vérification de licence Google Play
Pour comparer: l’appli Facebook s’intéresse à vos données de la même façon, mais offre aussi bien plus de fonctions. Pour Meitu, l’accès à la mémoire et à l’appareil photo aurait été suffisant si les programmeurs avaient eu le droit d’être minimalistes.
Qu’est-ce que mon IMEI?
IMEI signifie Mobile Equipment Identity. Littéralement: identité internationale d'équipement mobile. Tous vos «smart» dans votre poche ont un IMEI, c’est-à-dire votre smartphone, votre smartwatch, votre tablette, votre phablet, etc. Le numéro IMEI est une suite de chiffres. Chaque appareil a un numéro unique qui reste, en général, secret et inutilisé. Avec l’IMEI, on peut savoir avec certitude quel téléphone est utilisé pour la transmission du signal.
L’IMEI est l’un des sets de métadonnées les plus importants dans le domaine mobile. Certes, il ne vous identifie pas directement, mais si vous avez un compte sur votre téléphone que vous avez protégé avec un mot de passe, PIN ou empreinte digitale et que votre compte se nomme prénom.nom@gmail.com ou presque, alors tout est clair.
Dans cette vidéo (en allemand), l’analyste de données David Kriesel nous explique tout ce que l’on peut faire avec les métadonnées (à partir de 12:08).
De plus, d’après AndroidPolice.com, les données concernant les modèles de smartphone, les résolutions des écrans, les versions Android et iOS, l’adresse MAC des l’appareils et d’autres données sont transmises au serveur chinois.
En échange de selfies, Meitu envoie ces données dans le monde entier. Entre autres en Chine, un pays qui ne se préoccupe pas toujours des droits de l’homme et de la loi.
Pourquoi est-ce que Meitu fait ça?
On spécule encore beaucoup sur les raisons, mais l’utilisateur Twitter Pheonix7284 pense avoir une solution. Il renvoie à un article sur le site InsidePrivacy.com, qui décrit les nouvelles conditions devant être remplies par les applications en Chine.
En bref: depuis le 1er août 2016, toutes les applications programmées en Chine doivent récolter des métadonnées.
- Les applications doivent authentifier leurs utilisateurs en attachant un numéro de téléphone vérifié ou toutes autres données identifiées à un profil en ligne. Donc, votre profil Twitter anonyme est lié à votre compte nommé prénom.nom@gmail.com.
- Les enregistrements de vos activités doivent être enregistrés durant 60 jours
- L’application doit respecter des régulateurs et se procurer des licences spécifiques à cette dernière. Ceci n’est pas décrit plus précisément.
- Les prestataires de l’appli doivent pouvoir s’assurer que leur application n’autorise aucune publication pouvant enfreindre la loi chinoise d’une quelconque manière.
- Les prestataires de l’appli doivent pouvoir dépister ces effractions côté logiciel
- Les prestataires de l’appli doivent mentionner la totalité des effractions sans exception
- Les prestataires de l’appli doivent se soumettre à une ou plusieurs inspections des autorités locales
La Chine pratique encore la censure. Besoin d’exemples?
Si vous cherchez «Tiananmen Square» (littéralement : place de la porte de la Paix céleste) dans la version suisse de Google, les résultats suivants apparaissent:
Si vous cherchez 天安门广场 – la traduction chinoise du nom de lieu – sur Google Hong Kong (il n’existe pas de version chinoise directe), vous trouvez les résultats suivants:
Mais, dernière son grand pare-feu, la Chine à son propre moteur de recherche; il s’appelle Baidu. Donc, si nous lançons Baidu et cherchons 天安门广场, les résultats suivants apparaissent:
Les répercutions de la censure
Vous vous demandez certainement «Quelles protestations?». Peut-être que vous ne savez pas beaucoup de choses sur ces protestations, mais vous avez certainement déjà vu une photo. Les Chinois qui ne cherchent jamais en dehors de la Chine ne connaissent pas l’image iconique du Tank Man.
En dehors de la Chine, l’image se trouve facilement en utilisant directement la version Google internationale. Le problème est que cela pourrait déjà compter comme une infraction à la loi chinoise et vous marquerait comme un dissident politique. En tant que touriste, ce n’est pas vraiment un gros problème. Mais en tant que citoyen chinois qui doit vivre en Chine, vous avez de gros problèmes qui, dans le pire des cas, pourraient se transformer en une exécution.
Les mécanismes imposés aux prestataires d’application chinoises – surtout ceux avec des caractéristiques identificatoires – sont donc présents pour dépister et identifier les dissidents. Il ne s’agit exceptionnellement pas de publicité, mais de vies humaines.
Maintenant, ma question polémique: voulez-vous, en échange de quelques selfies pas comme les autres, divulguer votre identité aux Chinois pour qu’ils puissent analyser vos données et peut être vous marquer comme dissident et danger pour leur gouvernement?
Ces articles pourraient aussi vous intéresser
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.
Smartphone
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
33 commentaires
later