English [en]   Deutsch [de]   español [es]   français [fr]   italiano [it]   日本語 [ja]   русский [ru]  

• À PROPOS
• PHILOSOPHIE
• LICENCES
• ÉDUCATION
• LOGICIELS
• DOCUMENTATION
• AIDEZ GNU

[Traduit de l'anglais]

Malveillance des appareils mobiles

Autres exemples de malveillance dans le logiciel privateur

• Le réseau téléphonique suit les mouvements de chaque téléphone.

  C'est inhérent à la conception du réseau téléphonique : aussi longtemps que le téléphone est en communication avec lui, il n'y a aucun moyen d'empêcher le réseau d'enregistrer sa position. De nombreux pays (y compris les États-Unis et l'Union européenne) exigent que le réseau conserve toutes ces données de localisation pendant des mois ou des années.

• Le processeur de communication de chaque téléphone a une porte dérobée universelle qui est souvent utilisée pour forcer le téléphone à transmettre toutes les conversations qu'il entend.

  Cette porte dérobée peut prendre la forme de bogues qui sont restés non corrigés pendant 20 ans. Le choix de laisser ces failles de sécurité en place est l'équivalent moral de la création d'une porte dérobée.

  La porte dérobée est dans le « processeur du modem », dont le rôle est de communiquer avec le réseau hertzien. Dans la plupart des téléphones, le processeur du modem a le contrôle du micro et en général il a aussi la capacité de réécrire le logiciel du processeur principal.

  Quelques modèles de téléphone sont spécialement conçus pour que le processeur du modem ne contrôle pas le micro et par conséquent ne puisse pas changer le logiciel du processeur principal. Ils ont tout de même une porte dérobée, mais au moins elle est incapable de transformer le téléphone en appareil d'écoute.

  Il semble que la porte dérobée universelle soit également utilisée pour forcer les téléphones à transmettre même quand ils sont éteints. Cela signifie que leurs mouvements sont suivis et que la fonction d'écoute peut être rendue opérante.

Portes dérobées

• Voir plus haut ce qui concerne la porte dérobée universelle, présente dans presque tous les téléphones mobiles et permettant de les convertir en appareils d'écoute permanente.

• Les téléphones Xiaomi sont livrés avec une porte dérobée universelle à l'usage de Xiaomi dans le processeur d'application.

  Elle est différente de la porte dérobée universelle utilisable par l'opérateur téléphonique local, qui existe dans le processeur du modem.

• La bibliothèque Android privatrice de Baidu (Moplus) a une porte dérobée qui peut « uploader des fichiers » et aussi installer des applis de force.

  Elle est utilisée par 14 000 applications Android.

• Une version chinoise d'Android a une porte dérobée universelle. Presque tous les modèles de téléphones mobiles ont une porte dérobée universelle sur la puce modem. Alors, pourquoi Coolpad se donnerait-il la peine d'en introduire une autre ? Parce que celle-ci est sous son contrôle.

• Les Galaxy de Samsung qui tournent sous des versions privatrices d'Android sont livrés avec une porte dérobée qui permet l'accès à distance aux fichiers stockés dans l'appareil.

DRM

• L'appli Netflix pour Android force la connexion à utiliser les DNS de Google. C'est l'une des méthodes employées par Netflix pour faire appliquer les restrictions géographiques imposées par les studios de cinéma.

Insécurité

Contrairement au reste de la page, ce paragraphe répertorie des bogues qui ne sont pas (n'étaient pas) intentionnels, et donc ne peuvent pas être qualifiés de malveillants. Nous les signalons pour réfuter l'idée préconçue que les logiciels privateurs prestigieux n'ont pas de bogue grave.

• Siri, Alexa et tous les autres systèmes de commande vocale peuvent être piratés par des programmes qui envoient les commandes sous forme d'ultrasons inaudibles par les humains.

• Certains téléphones de Samsung envoient des photos aux contacts de leur propriétaire de manière aléatoire.

• De nombreux appareils sous Android peuvent être piratés via leur puce Wi-Fi à cause d'un bogue dans le micrologiciel [firmware] non libre de Broadcom.

• Les applis mobiles servant à communiquer avec une voiture intelligente, mais imprudente, sont très mal sécurisées.

  Et de plus, la voiture contient un modem cellulaire qui dit en permanence où elle se trouve à Big Brother. Si vous possédez une voiture de cette sorte, vous seriez bien avisé de débrancher le modem afin de désactiver le pistage.

• Des téléphones Samsung possèdent une faille de sécurité qui permet d'installer un logiciel de rançon en passant par un SMS

• WhatsApp possède une fonctionnalité qui a été décrite comme une « porte dérobée » car elle permet aux gouvernements d'annuler son chiffrement.

  Les développeurs disent que ce n'était pas prévu pour être une porte dérobée et ils peuvent très bien avoir raison. Mais il reste une question cruciale : est-ce que cette porte dérobée est vraiment opérationnelle ? Puisque le programme n'est pas libre, nous ne pouvons pas le vérifier en l'étudiant.

• WhatsApp possède une fonctionnalité qui a été décrite comme une « porte dérobée » car elle permet aux gouvernements d'annuler son chiffrement.

• Voici une critique à moitié aveugle de la sécurité d'une appli pisteuse. Elle a mis en évidence des failles béantes permettant à n'importe qui de fouiner dans les données personnelles de l'utilisateur. Mais elle ne se préoccupe aucunement du fait que l'appli envoie les données personnelles à un serveur, où le développeur les récupère en totalité. Ce « service » est pour les pigeons !

  Ce serveur a sûrement une « politique de confidentialité », qui sûrement ne vaut rien puisque c'est le cas de presque toutes.

• Un bogue dans la bibliothèque privatrice ASN.1, qui est utilisée dans les relais de téléphonie aussi bien que dans les téléphones cellulaires et les routeurs, permet à des tiers de prendre le contrôle de ces systèmes.

• De nombreuses applis privatrices de paiement transmettent les données personnelles de manière non sécurisée. Le pire, toutefois, est que le paiement n'est pas anonyme.

• De nombreuses applis pour smartphones utilisent des méthodes d'authentification non sécurisées quand vous stockez vos données personnelles dans des serveurs distants. De ce fait, vos informations personnelles (adresses de courriel, mots de passe ou données de santé, par exemple) restent vulnérables. Beaucoup de ces applis étant privatrices, il est difficile, voire impossible, de savoir lesquelles présentent un risque.

• Une appli qui empêche le « vol d'identité » (accès aux données personnelles) en sauvegardant les données de l'utilisateur sur un serveur spécial a été désactivée par son développeur qui y avait découvert une faille de sécurité.

  Ce développeur semble être consciencieux dans ses efforts de protection des données personnelles contre les tiers en général, mais il ne peut pas les protéger contre l'État. Au contraire ! Confier vos données au serveur de quelqu'un d'autre, si elles ne sont pas chiffrées au préalable, revient à fragiliser vos droits.

• Grâce à la mauvaise sécurisation de WhatsApp, les écoutes deviennent un jeu d'enfant.

• La NSA peut aller chercher des données dans les smartphones, que ce soit les iPhones, les Android ou les Blackberry. Bien que l'article soit peu détaillé, il semble que cette opération n'utilise pas la porte dérobée universelle qui, on le sait, se trouve dans presque tous les téléphones portables. Il est possible qu'elle exploite différents bogues. Il y a de plus une multitude de bogues dans le logiciel de radio des téléphones.

Surveillance

• L'appli pour la retransmission en direct du football espagnol suit les déplacements de l'utilisateur et écoute via le micro.

  Ainsi elle fait office d'espionne au service de l'application des licences.

  Je suppose qu'elle implémente aussi la gestion numérique des restrictions – qu'il n'y a aucun moyen de sauvegarder un enregistrement. Mais je ne peux pas en être sûr d'après l'article.

  Si vous apprenez à donner beaucoup moins d'importance aux sports, vous en tirerez de nombreux avantages. Dans ce cas particulièrement.

• Des chercheurs ont étudié 5 855 applis et montré que plus de 50 % d'entre elles sont des espions qui collectent de l'information sur leurs utilisateurs et 40 % sont des mouchards. Ils n'ont pu détecter que certaines méthodes d'espionnage dans ces applis privatrices, car ils n'ont pu examiner leur code source. Les autres pourraient utiliser d'autres méthodes.

  Voici la preuve que les applis privatrices agissent généralement contre l'intérêt de leurs utilisateurs. Pour protéger leur vie privée et leur liberté, les utilisateurs d'Android doivent se débarrasser du logiciel privateur, c'est-à-dire : 1) éliminer Android lui-même en passant à Replicant, et 2) éviter les applis privatrices en utilisant le dépôt F-Droid, qui ne contient que du logiciel libre et avertit de manière très visible si une appli contient des fonctionnalités nocives.

• Grindr enregistre lesquels de ses utilisateurs sont séropositifs et fournit cette information à des sociétés.

  Grindr enregistre lesquels de ses utilisateurs sont séropositifs et fournit cette information à des sociétés.

• MoviePass espionne encore plus les utilisateurs qu'ils ne l'avaient anticipé. Cette appli et le mal-service associé enregistrent leurs déplacements avant et après le cinéma.

  Ne vous laissez pas pister ; payez comptant !

• Les logiciels de pistage sont omniprésents dans les applis Android populaires, et ils sont quelquefois très futés. Certains peuvent suivre les mouvements de l'utilisateur dans un magasin physique en notant les réseaux wifi qu'il utilise.

• Les applis d'aide à la conduite intégrant de l'intelligence artificielle peuvent suivre tous vos mouvements.

• L'appli Sarahah envoie tous les numéros de téléphone et adresses de courriel présents dans le carnet d'adresse de l'utilisateur sur le serveur du développeur. Notez que cet article emploie à mauvais escient l'expression free software dans le sens de « logiciel gratuit ».

• Une vingtaine d'applis Android malhonnêtes ont enregistré des appels téléphoniques et les ont envoyées à des fouineurs, ainsi que des textos et des courriels.

  Google n'a pas forcé ces applis à espionner ; au contraire, elle a essayé d'empêcher ça de diverses manières et a supprimé ces applis après avoir découvert ce qu'elles faisaient. Donc nous ne pouvons pas mettre sur le dos de Google ce comportement fouineur particulier.

  Cependant, Google redistribue des applis Android non libres et donc partage la responsabilité de l'injustice qu'entraîne leur caractère privateur. De plus, cette société redistribue ses propres applis non libres (par exemple Google Play), qui sont malveillantes.

  Est-ce que Google aurait pu faire plus pour empêcher ces applis de tricher ? Il n'y a aucun moyen systématique pour Google, ni pour les utilisateurs d'Android, d'inspecter les applis privatrices exécutables pour voir ce qu'elles font.

  Google pourrait demander le code source de ces applis et l'étudier pour déterminer si elles font du tort aux utilisateurs d'une façon ou d'une autre. Si ce contrôle était fait correctement, l'espionnage pourrait être plus ou moins évité, sauf si les développeurs d'applis étaient assez astucieux pour le déjouer.

  Mais puisque Google développe ses propres applis malveillantes, nous ne pouvons pas lui faire confiance pour nous protéger. Nous devons exiger la publication du code source, pour que nous puissions compter les uns sur les autres.

• Les applis du réseau express régional de San Francisco (BART) espionnent les utilisateurs.

  Avec des applis libres, les utilisateurs pourraient s'assurer qu'elles ne les espionnent pas.

  Avec des applis privatrices, on peut seulement espérer qu'elles ne le font pas.

• Une étude a découvert 234 applis Android qui pistent les utilisateurs en écoutant les ultrasons émis par des balises placées dans certains magasins, ou par des programmes de télévision.

• Faceapp semble avoir des capacités de surveillance très étendues, à en juger par ses exigences en matière d'accès aux données personnelles.

• Des utilisateurs sont en train d'attaquer Bose en justice pour avoir distribué une appli espionne en complément de ses écouteurs. Plus précisément, l'appli enregistrait les noms des fichiers musicaux écoutés, ainsi que le numéro de série unique de l'appareil.

  On reproche à Bose d'avoir fait cela sans le consentement des utilisateurs. Est-ce que ce serait devenu acceptable si les clauses en petits caractères de l'appli avaient dit que l'utilisateur donnait son accord ? Jamais de la vie ! Dès le départ, il aurait dû être illégal de concevoir cette appli pour espionner.

• Il peut y avoir collusion entre des paires d'applis Android pour transmettre les données personnelles des utilisateurs à des serveurs. Une étude a trouvé des dizaines de milliers d'applis qui sont dans ce cas.

• Verizon a annoncé une appli privatrice optionnelle qui sera préinstallée sur certains de ses mobiles. L'appli communiquera à Verizon les informations sur les recherches de l'utilisateur que Google obtient normalement lorsqu'ils utilisent son moteur de recherche.

  Actuellement, l'appli est préinstallée sur un seul modèle et l'utilisateur doit donner explicitement son accord avant qu'elle prenne effet. Cependant, cela reste un logiciel espion – un logiciel espion « optionnel » est toujours un logiciel espion.

• L'appli de Meitu pour éditer les photos envoie des données personnelles à une entreprise chinoise.

• L'appli d'Uber piste les déplacements du client avant et après la course.

  Sur cet exemple, on voit qu'« obtenir le consentement de l'utilisateur » pour la surveillance ne le protège pas de la surveillance de masse.

• Un article de recherche a étudié 283 applis VPN pour Android du point de vue de la confidentialité et de la sécurité. Voici sa conclusion : « En dépit des promesses de confidentialité, de sécurité et d'anonymat faites par la plupart des applis VPN, des millions d'utilisateurs peuvent être victimes à leur insu des garanties de sécurité fallacieuses et des pratiques abusives que ces applis leur infligent. »

  La liste suivante, non exhaustive, est tirée de cet article. Elle répertorie des applis VPN privatrices qui traquent les utilisateurs et portent atteinte à leur vie privée.

  SurfEasy

  Comprend des bibliothèques comme NativeX et Appflood, destinées à pister l'utilisateur et à lui envoyer des pubs ciblées.

  sFly Network Booster

  Demande les permissions READ_SMS et SEND_SMS lors de l'installation, ce qui veut dire qu'il a un accès complet aux textos de l'utilisateur.

  DroidVPN et TigerVPN

  Demandent la permission READ_LOGS pour lire les journaux des autres applis, et aussi ceux du système. Les développeurs de TigerVPN l'ont confirmé.

  HideMyAss

  Envoie du trafic à LinkedIn. De plus, cette appli conserve des journaux détaillés et peut les transmettre au gouvernement britannique sur sa demande.

  Service VPN HotspotShield

  Injecte du code JavaScript dans les pages HTML renvoyées aux utilisateurs. Le but avoué de cette injection est d'afficher des pubs. Cette appli utilise cinq bibliothèques de pistage environ. En outre, elle redirige le trafic de l'utilisateur par valueclick.com (un site de publicité).

  WiFi Protector

  Injecte du code JavaScript dans les pages HTML et utilise également cinq bibliothèques de pistage. Ses développeurs ont confirmé que l'injection de JavaScript par la version gratuite de l'appli sert au pistage des utilisateurs et à l'affichage de pubs.

• Certains téléphones portables sont vendus avec un logiciel espion qui envoie une masse de données en Chine.

• La nouvelle appli de Facebook Magic Photo scanne les collections de photos de votre téléphone mobile pour reconnaître des visages et suggère que vous partagiez ces photos avec les personnes qui sont dessus.

  Cette fonctionnalité d'espionnage semble nécessiter un accès en ligne à une banque de données de visages connus, ce qui signifie que les photos seront probablement envoyées par le réseau aux serveurs de Facebook et à des algorithmes de reconnaissance faciale.

  Si c'est le cas, plus aucune des photos des utilisateurs de Facebook ne sera privée, même s'ils ne les ont pas téléversées à ce service.

• L'appli de Facebook écoute en permanence, pour espionner ce que les gens écoutent ou regardent. De plus, elle peut analyser leurs conversations pour leur envoyer des pubs ciblées.

• Une application qui contrôle les tests de grossesse peut non seulement espionner toute une variété de données personnelles stockées dans le téléphone ou sur le serveur, mais aussi les altérer.

• Les applis qui incluent le logiciel de surveillance Symphony rapportent quels programmes passent à la radio et à la télévision dans leur voisinage, et aussi ce que les utilisateurs envoient sur divers sites comme Facebook, Google+ et Twitter.

• L'extension naturelle de la surveillance des gens au moyen de « leur » téléphone est le logiciel privateur ; c'est une garantie qu'ils ne pourront pas « déjouer » la surveillance.

• Des « communications énigmatiques » n'ayant rien à voir avec la fonctionnalité de l'appli ont été découvertes dans les 500 applis gratuites pour Android les plus populaires.

  Cet article n'aurait pas dû décrire ces applis comme free – ce ne sont pas des logiciels libres [free software]¹. Pour être clair en anglais lorsqu'on parle de « coût nul », il faut dire gratis.

  L'article considère comme acquis que les outils analytiques habituels sont légitimes, mais est-ce valide ? Les développeurs n'ont pas le droit d'analyser ce que font les utilisateurs et comment ils le font. L'espionnage par des outils d'« analyse » est tout aussi répréhensible que par n'importe quel autre moyen.

• Les applications mobiles d'Android et iOS, dans une proportion supérieure à 73% et 47% respectivement, partagent certaines données personnelles, comportementales ou de géolocalisation de leurs utilisateurs avec des tiers.

• D'après Edward Snowden, certains services de renseignement peuvent prendre le contrôle des téléphones en leur envoyant des textos cachés au moyen desquels ils peuvent les allumer et les éteindre, écouter le micro, récupérer les données de géolocalisation, lire l'historique des appels, de la localisation et de la navigation sur le web, ainsi que lire le répertoire. Ce logiciel malveillant est conçu pour se camoufler de manière à échapper aux recherches.

• Comme la plupart des mal-services « écorcheurs de musique », spotify est basé sur un logiciel malveillant propriétaire (DRM et fouinage). En août 2015, il a exigé de ses utilisateurs qu'ils se soumettent à un fouinage accru et certains commencent à réaliser que c'est de la malfaisance.

  Cet article montre leurs façons tordues de présenter le fouinage comme une manière de mieux « servir » les utilisateurs – qu'importe si c'est ce qu'ils veulent ou non. Voilà un exemple typique de l'attitude de l'industrie du logiciel privateur envers ceux qu'ils ont assujetti.

  Dehors, dehors, satané Spotify !

• Les téléphones Samsung sont livrés avec des applis que les utilisateurs ne peuvent pas supprimer ; elles envoient tant de données que cette transmission représente une dépense substantielle pour les utilisateurs. Il est clair que ladite transmission, ni désirée ni demandée, doit constituer une sorte d'espionnage.

• Une étude de 2015 a trouvé que 90% des applis Android gratuites et privatrices les mieux classées contenaient des bibliothèques de pistage. Pour les applis privatrices payantes, la proportion était de 60%.

  Cet article prête à confusion, car il décrit les applis gratuites comme « libres » [free] alors que la plupart ne sont pas du logiciel libre. De plus, il utilise le vilain mot « monétiser ». On peut avantageusement remplacer ce verbe par « exploiter » ; cela conviendra presque toujours parfaitement.

• les applis Android gratuites (mais non libres) se connectent en moyenne à une centaine d'URL spécialisées dans le pistage ou la publicité.

• Des scanneurs de QR-code privateurs d'utilisation courante espionnent l'utilisateur. Cela s'ajoute à l'espionnage effectué par l'opérateur téléphonique et peut-être par le système d'exploitation du téléphone.

  Ne vous laissez pas distraire par la question de savoir si les développeurs de l'appli demandent à l'utilisateur de dire « Je suis d'accord ». Ce n'est pas une excuse pour la malveillance du logiciel.

• De nombreuses applis privatrices pour appareils mobiles rapportent quelles autres applis l'utilisateur a installées. Twitter le fait d'une façon qui, au moins, est visible et optionnelle. Ce n'est pas aussi mal que ce que font les autres.

• La porte dérobée de Samsung permet l'accès à n'importe quel fichier du système.

• Le clavier Simeji est une version pour smartphone de l'éditeur de méthode d'entrée espion de Baidu.

• L'application non libre Snapchat a pour but principal de restreindre l'utilisation de données sur l'ordinateur de l'utilisateur, mais elle fait aussi de l'espionnage : elle essaie de récupérer le répertoire téléphonique de l'utilisateur.

• L'application Brightest Flashlight (litt., lampe de poche la plus brillante) diffuse des données personnelles, y compris de géolocalisation, à l'usage de certaines entreprises.

  La FTC a critiqué cette application parce qu'elle demandait l'accord de l'utilisateur pour l'envoi de données personnelles à son développeur, mais pas pour l'envoi à d'autres sociétés. Ceci montre la faiblesse de la « solution » du style refusez-si-vous-n'aimez-pas-les-fouineurs : pourquoi une application lampe de poche devrait-elle envoyer de l'information à quiconque ? Une application lampe de poche libre ne le ferait pas.

• Les téléphones portables munis d'un GPS envoient des données de géolocalisation sur commande à distance et les utilisateurs ne peuvent pas les en empêcher (le gouvernement américain dit qu'à terme il va rendre le GPS obligatoire dans tous les téléphones portables neufs).

• La FTC² déclare que les appareils mobiles destinés aux enfants ne respectent pas la vie privée (http://arstechnica.com/information-technology/2012/12/ftc-disclosures-severely-lacking-in-kids-mobile-appsand-its-getting-worse/).

• Certains fabricants ajoutent un logiciel de surveillance cachée tous azimuts comme Carrier IQ.

Prisons

• Feu Windows 8 pour « appareils mobiles » était une prison : il censurait le choix de l'utilisateur en matière de programmes d'application.

Tyrans

• Les appareils mobiles utilisant Windows 8 sont des tyrans.

• FSF
• RÉPERTOIRE LOGICIEL LIBRE
• MATÉRIEL
• ART GNU
• TROMBINOSCOPE
• PLAN DU SITE

« La Fondation pour le logiciel libre (FSF – Free Software Foundation) est une organisation à but non lucratif dont la mission est de promouvoir au niveau mondial la liberté d'utiliser l'informatique. Nous défendons les droits de tous les utilisateurs de logiciel. »

La FSF est le principal sponsor institutionnel du système d'exploitation GNU. Soutenez GNU et la FSF en achetant des manuels et autres, en adhérant à la FSF comme membre associé ou en faisant un don.

Copyright © 2014, 2015, 2016, 2017, 2018 Free Software Foundation, Inc.

Cette page peut être utilisée suivant les conditions de la licence Creative Commons attribution 4.0 internationale (CC BY 4.0).

Dernière mise à jour : $Date: 2018/10/09 13:30:39 $