Le code de collecte de données dans les applications mobiles envoie les données des utilisateurs à la société russe Yandex. Plus de 52 000 applications Android et iOS sont concernées


Yandex, la plus grande société Internet de Russie, aurait intégré du code dans les applications pour smartphones qui envoie des informations à des millions d’utilisateurs sur des serveurs dans leur pays d’origine. Le code serait caché dans son AppMetrica SDK (kit de développement logiciel) qui permet aux développeurs de créer des applications pour les appareils iOS et Android. La divulgation a soulevé des problèmes de sécurité des données, car la loi russe peut obliger l’entreprise à mettre ces données à la disposition du gouvernement russe.

Yandex, également appelé “Google russe”, développe et distribue le SDK “AppMetrica”. Les développeurs l’utilisent ensuite pour créer de nombreux types d’applications telles que des jeux, des applications de messagerie, des applications VPN, etc. Mais récemment, on a appris qu’AppMetrica cache un code qui permet à Yandex de collecter discrètement les données personnelles des utilisateurs des applications qui l’intègrent. La découverte a été faite pour la première fois par le chercheur Zach Edwards dans le cadre d’une campagne d’audit d’applications pour Me2B Alliance, une organisation à but non lucratif.

D’autres experts auraient alors confirmé l’existence dudit code dans le SDK. Yandex a reconnu que son SDK collecte des informations sur “les appareils, les réseaux et les adresses IP” qui sont stockées “en Finlande et en Russie”, mais la société a qualifié ces données de “non personnalisées et très limitées”. Elle a ajouté : Bien que théoriquement possible, dans la pratique, il est extrêmement difficile d’identifier les utilisateurs en se basant uniquement sur ces informations collectées. Yandex ne peut absolument pas faire cela. Pour Yandex, “AppMetrica n’est pas une menace pour les utilisateurs”.

Le gant technologique russe a ajouté qu’AppMetrica fonctionne comme n’importe quel autre outil. Les révélations surviennent à un moment critique pour Yandex, qui tente depuis longtemps de tracer une voie indépendante sans s’attirer les foudres du président russe Vladimir Poutine, qui veut plus de contrôle sur Internet. La société a déclaré avoir suivi un processus interne “très strict” dans ses relations avec les gouvernements. Veuillez noter : Toutes les demandes qui ne respectent pas toutes les exigences légales et procédurales pertinentes seront rejetées. Mais ces explications ne suffisent pas à convaincre les critiques.

Cher Scarlett, ancien ingénieur logiciel senior en sécurité mondiale chez Apple, a déclaré qu’une fois les données des utilisateurs collectées sur les serveurs russes, Yandex pourrait devoir les envoyer au gouvernement en fonction des lois locales. D’autres experts ont déclaré que les métadonnées du type collectées par Yandex pourraient être utilisées pour identifier les utilisateurs. Ron Wyden, président de la commission des finances du Sénat américain, a critiqué Google et Apple pour ne pas en faire assez pour protéger les smartphones du logiciel Yandex.

AppMetrica aurait fait son chemin dans 52 000 applications atteignant des centaines de millions de consommateurs. “Ces applications prennent en charge les données d’applications privées et sensibles de votre téléphone, menaçant la sécurité nationale des États-Unis et la vie privée des Américains et d’autres personnes dans le monde”, a-t-il déclaré. Yandex, également considéré comme un géant mondial de la technologie, est coté à la Bourse de New York et est détenu majoritairement par des fonds américains. Elle est constituée à Amsterdam et, selon certaines informations, son fondateur Arkady Volozh vit en Israël.

En 2019, la société aurait conclu un accord avec le gouvernement russe, codifiant une structure qui garantit que Moscou peut intervenir dans certains domaines, tels que les acquisitions étrangères, sans contrôle sur les opérations quotidiennes. De plus, l’invasion russe de l’Ukraine aurait brisé ses ambitions internationales, fait chuter le cours de son action et provoqué la rupture des liens avec certains partenaires occidentaux. Le PDG de la société, Tigran Khudaverdyan, aurait démissionné la semaine dernière après avoir fait face à des sanctions européennes visant à affecter les actifs d’hommes d’affaires considérés comme proches du Kremlin.

Parmi les applications sur lesquelles AppMetrica est installé figurent des jeux, des applications de messagerie, des outils de partage de localisation et des centaines de VPN, des outils conçus pour permettre aux utilisateurs de naviguer sur le Web sans être suivis. Sept de ces VPN seraient spécialement conçus pour le public ukrainien. Le SDK d’AppMetrica prétend fournir des services adéquats, tout en appelant Moscou avec des détails de métadonnées profondément invasifs qui peuvent être utilisés pour suivre les personnes sur des sites Web et des applications, a déclaré Edwards, qui a découvert le code pour la première fois.

Pour les personnes présentant un profil de menace élevé ou occupant des postes de haut niveau, l’utilisation d’applications qui envoient ces données à Moscou est dangereuse et peut entraîner des attaques contre les réseaux domestiques ou d’autres formes de surveillance numérique, a-t-il ajouté. Le sénateur Wyden a poursuivi en disant que la rhétorique d’Apple et de Google selon laquelle l’App Store et le Play Store sont des plates-formes sûres pour les utilisateurs est un “gros mensonge”. Selon le politicien, Apple et Google auraient dû divulguer la collecte de données d’AppMetrica il y a longtemps.


Extrait des conditions d’utilisation de “Call Ukraine”

Apple et Google affirment que leur contrôle quasi monopolistique sur leurs magasins d’applications est nécessaire pour assurer la sécurité des consommateurs. “Chaque jour où des applications créées à partir du SDK Yandex se trouvent dans ces magasins est une preuve supplémentaire que la sécurité des consommateurs qu’ils prétendent offrir est une illusion”, a déclaré Wyden. Par ailleurs, Yandex a défendu l’utilisation de son SDK, affirmant qu’il “fonctionne exactement comme ses homologues internationaux”, y compris Google Firebase, qui est présent dans plus de 2 millions d’applications Android.

La société a déclaré qu’elle ne collecte des données “qu’après que l’application a reçu le consentement des utilisateurs” sur les applications Android et iOS. Nous informons les développeurs sur le fonctionnement d’AppMetrica et ils sont tenus, si la loi l’exige, d’obtenir le consentement de leurs utilisateurs. Nous n’avons jamais fourni d’informations à l’utilisateur sur les applications dans lesquelles AppMetrica est installé, et on ne nous a pas non plus demandé de le faire », a expliqué Yandex. De même, Apple a déclaré qu’AppMetrica ne peut pas accéder sans discernement aux données des utilisateurs car le SDK nécessite un consentement.

D’autre part, Patrick Jackson, CTO de Disconnect, un développeur d’outils de confidentialité, explique que la raison pour laquelle les SDK peuvent présenter un risque est précisément parce qu’ils ne demandent pas d’autorisation. Au lieu de cela, ils sont basés sur les autorisations que vous, l’utilisateur, avez accordées à l’application qui les intègre », a-t-il déclaré. Pour sa part, Google a reconnu qu’il avait encore du travail à faire pour fournir aux utilisateurs une transparence sur les SDK utilisés pour créer des applications et a déclaré qu’il enquêterait sur les données collectées par AppMetrica.

Pendant ce temps, certains développeurs d’applications auraient commencé à supprimer AppMetrica de leurs applications après l’invasion russe de l’Ukraine. “Nous avons pris la décision de ne plus utiliser de services appartenant à la Russie lorsque la guerre a commencé”, a déclaré un porte-parole de Gismart, qui fabrique des dizaines de jeux avec AppMetrica installé. Le navigateur Web Opera, qui dispose d’un VPN intégré, a déclaré avoir désactivé le SDK à partir du 15 février, en attendant sa suppression complète. Il n’a pas donné de raison, mais a laissé entendre qu’il était passé à sa propre plateforme publicitaire.

Les rapports indiquent plutôt que plus de 2 000 applications ont ajouté le SDK AppMetrica depuis l’invasion de l’Ukraine, dont plusieurs semblent être conçues pour suivre les utilisateurs ukrainiens. Selon un rapport, “Call Ukraine”, par exemple, est un “messager gratuit pour les Ukrainiens” qui a été publié sur le Play Store le 10 mars avec le drapeau bleu et jaune comme icône. Une fois téléchargée, l’application permet de connaître l’identité d’un utilisateur et de lire ses contacts.

Le développeur inclut une fausse adresse e-mail : “[email protected]”. Chère Scarlett a déclaré qu’il était préoccupant qu’AppMetrica ait été installé sur 21 applications VPN au cours des 30 derniers jours seulement. Vous essayez d’être proactif pour être plus en sécurité, mais vous vous rendez en fait plus vulnérable », a-t-il déclaré.

Et vous ?

Quelle est votre opinion sur le sujet ?
Que pensez-vous de la collecte de données personnelles par les SDK ?
À votre avis, la collecte de données AppMetrica est-elle plus dangereuse que la collecte de données par les SDK fournis par Google, Apple et d’autres mitaines technologiques ?

Voir également

La CIA a un programme secret pour collecter des données auprès des Américains, selon des sénateurs démocrates, qui indiquent également que la collecte se fait sans ordonnance du tribunal.

TikTok vient d’être autorisé à collecter les données biométriques des utilisateurs, dont les empreintes faciales et vocales

Comment certaines applications Android échangent-elles des données avec Facebook, en particulier pour les utilisateurs mobiles qui n’ont pas de compte Facebook ?

L’éditeur de l’application de visioconférence Zoom poursuit pour avoir transmis les données des utilisateurs de Facebook, via son SDK Facebook Login

Il existe un marché de plusieurs milliards de dollars pour les données de localisation de votre téléphone, c’est une industrie énorme, mais très peu connue du grand public et non réglementée.

Leave a Comment