Une faille dans les applications Android, pour deux grands types de données concernés
C’est en développant de nouveaux outils d'analyse dynamique de vérification de la bonne transmission des données personnelles par les applications mobiles vers le Cloud, que les chercheurs à l’origine de l’article « 50 Ways to Leak Your Data: An Exploration of Apps' Circumvention of the Android Permissions System » ont identifié des dizaines de milliers d'applications qui contournaient activement le système de permissions d'Android.
Leur but ? Accéder à des données sensibles, sans que l'utilisateur en soit conscient et sans son consentement éclairé, violant ainsi à la fois la plate-forme et les exigences réglementaires.
« Mon exemple préféré vient d'OpenX », raconte Joel Reardon. « Ils avaient un bloc de code qui était vraiment stupéfiant, parce que non obfusqué, ce qui me permettait de le lire. Il vérifiait d'abord si l'utilisateur avait la permission d'accéder à l'adresse MAC du routeur. Si l'utilisateur pouvait accéder à l'adresse MAC du routeur, il le faisait de la manière correcte. Mais si vous n’aviez pas la permission d'accéder à l'adresse MAC, il le remarquait et appelait une autre fonction, intitulée getMacAddressFromARP, qui exploitait le fait que la même information est disponible dans le cache ARP du système. Au lieu de signaler la vulnérabilité à Google et d'y remédier, OpenX l'a exploitée - uniquement lorsqu'elle n'avait pas la permission de l'obtenir légitimement. »
Parmi les données visées par ces failles : les identifiants persistants, comme les numéros de série, qui ne peuvent tout simplement pas changer. Ces données sont notamment collectées par les sociétés de publicité, car elles leur permettent de prendre l'empreinte unique de l'appareil d'une personne dans toutes les applications qu'elle utilise, quel que soit l'endroit où elle l'utilise. « Bien que ces identifiants aient aujourd’hui tendance à être verrouillés grâce à divers types d’autorisations sécuritaires, des applications continuent à trouver des moyens astucieux de contourner ces autorisations, afin d’accéder aux données », indique Joel Reardon.
L'autre grand type de données visées est celui des données de localisation. Celles-ci peuvent prendre la forme de coordonnées GPS précises, ou de substituts tels que les adresses MAC ou SSID des routeurs. « Ces dernières ont tendance à avoir un certain nombre de canaux secondaires d'accès, uniquement parce que des choses comme les adresses MAC des routeurs n'ont jamais été censées être des secrets, ou représenter la localisation, mais le sont devenues progressivement », explique Joel Reardon.
Une situation préoccupante pour la sécurité numérique
Toutes ces données pourraient être légitimement collectées si elles demandaient simplement la permission nécessaire. Pourtant, cette appropriation illégitime de données est aujourd’hui problématique, car elle représente une violation fondamentale des notions de notification et de consentement. « Les applications fournissent une notification par le biais des demandes d'autorisation, et les utilisateurs donnent leur consentement en acceptant les conditions et en installant l'application. En ne demandant pas d'autorisation et en obtenant sournoisement les mêmes informations par un canal secondaire ou secret, les applications peuvent se présenter comme respectueuses de la vie privée et tromper les consommateurs », ajoute Joel Reardon.
Un problème plus sérieux encore concerne l'utilisation de ces identifiants persistants. « Nous avons remarqué qu'un certain nombre d'applications enregistrent les numéros de série de l'appareil, comme l'adresse MAC ou l'IMEI, sur la carte SD afin que d'autres applications qui n'ont pas l'autorisation d'y accéder puissent les lire », explique le chercheur. Un véritable problème, Android interdisant l'accès à l'adresse MAC depuis 2015 et, plus récemment, à l'IMEI. Si une application l'a conservée sur le stockage partagé de l’utilisateur, elle sera ainsi accessible tant que les applications seront autorisées à avoir ce stockage partagé commun.
Des retombées significatives
Toute vulnérabilité trouvée par l’équipe de chercheurs derrière ce projet a été rapidement signalée à Google, par le biais de leur programme de vulnérabilité. Le géant américain a développé des correctifs et les a publiés dans Android 10. Parallèlement, l'article a également reçu le USENIX Security 2019 Distinguished Paper Award, et les données issues des résultats de recherche sont maintenant utilisées par plusieurs régulateurs, qui enquêtent activement sur plusieurs des entreprises responsables de ces pratiques trompeuses. Enfin, les résultats publiés ont été cités dans la troisième édition du livre Security Engineering de Ross Anderson, dans une partie consacrée aux problèmes de confidentialité et de sécurité associés aux canaux latéraux.
Les implications de cette étude en termes de réglementation et de transparence sont importantes, car elle démontre surtout que le plus grand système d'exploitation mobile a pu présenter des vulnérabilités dans ses mécanismes de contrôle des autorisations, qui ont permis le suivi des utilisateurs sans qu'ils en soient conscients, mais également que les plates-formes existantes n'ont pas réussi à détecter ces comportements intrusifs et trompeurs pendant des années.
Des résultats qui prennent tout leur sens, lorsqu’ils permettent de faire évoluer le fonctionnement existant, pour toujours plus de sécurité : « Je pense qu'une implication accrue de la réglementation est le seul moyen d'envoyer un message sur ce qui est inacceptable dans l'espace numérique, en particulier à mesure que les applications de téléphonie mobile deviennent plus étroitement liées à l'espace civique », ajoute Joel Reardon.
L’article récompensé par le Prix CNIL-Inria 2021 pour la protection de la vie privée
Forts de ces résultats, les chercheurs Joel Reardon, Narseo Vallina-Rodriguez, Amit Elazari Bar On, Primal Wijesekera et Serge Egelman, à l’origine de l’article « 50 Ways to Leak Your Data: An Exploration of Apps' Circumvention of the Android Permissions System », se sont vu remettre, ce 24 mai, le Prix CNIL-Inria 2021 pour la protection de la vie privée lors de la 15e conférence internationale Computers, Privacy and Data Protection (CPDP).
Créé en 2016 dans le cadre du partenariat qui lie les deux institutions, le prix européen CNIL-Inria vise à encourager la recherche scientifique sur la protection des données personnelles et de la vie privée.
Cette édition 2021 du Prix CNIL-Inria a également récompensé l’article "DatashareNetwork: A Decentralized Privacy-Preserving Search Engine for Investigative Journalists", reconnu par le jury comme un résultat exceptionnel en matière de protection de la vie privée. Cet article, porté par Kasra Edalatnejad, Wouter Lueks, Julien Pierre Martin, Soline Ledésert, Anne L'Hôte, Bruno Thomas, Laurent Girod et Carmela Troncoso, présente le premier moteur de recherche conçu pour les journalistes d'investigation, préservant de bout en bout la vie privée.
Ce système de recherche décentralisé, issu d'une collaboration étroite entre des chercheurs spécialisés dans la protection de la vie privée et le Consortium international des journalistes d'investigation (ICIJ), a ainsi pour objectif de permettre aux journalistes du monde entier de recueillir de meilleures informations pour leurs enquêtes au travers d’un réseau réservé de pairs, tout en leur promettant de solides garanties de confidentialité afin de les protéger, mais aussi de garantir la sécurité de leurs sources.
Vidéo de la présidente de la Cnil et du PDG d'Inria
Découvrez l'interview croisée de Marie-Laure Denis (présidente de la Cnil) et de Bruno Sportisse (PDG d'Inria) sur le Prix Cnil - Inria.
Mathieu Cunche, coprésident du jury du Prix CNIL-Inria 2021
Cette année, c'est le chercheur Inria Mathieu Cunche (équipe PRIVATICS) qui copréside le jury du Prix, au côté de François Pellegrini (CNIL) et de deux vice‑présidents de jury : Catuscia Palamidessi (Inria, équipe COMETE) et Félicien Vallet (CNIL).
Les membres du jury sont :
- Nicolas Anciaux, Inria, équipe PETRUS – France
- Nataliia Bielova, Inria, équipe PRIVATICS & CNIL – France
- Reuben Binns, Université d’Oxford – Grande-Bretagne
- Joe Calandrino, Federal Trade Commission – États-Unis
- Kostas Chatzikokolakis, Université d’Athènes – Grèce
- Josep Domingo-Ferrer, Université Rovira i Virgil, UNESCO Chair in Data Privacy – Espagne
- Sébastien Gambs, Université du Québec à Montréal – Canada
- Simone Fischer-Hübner, Université de Karlstad – Suède
- Oana Goga, Laboratoire d’Informatique de Grenoble, CNRS – France
- Marit Hansen, Commissaire à la protection des données du Land du Schleswig-Holstein et Unabhängiges Landeszentrum für Datenschutz (ULD) – Allemagne
- Kévin Huguenin, Université de Lausanne – Suisse
- Francesca Musiani, Directrice adjointe du Centre Internet et Société, CNRS – France
- Benjamin Nguyen, INSA-CVL – France
- Walter Rudametkin, Université de Lille et Inria, équipe SPIRALS – France
- Reza Shokri, Université nationale de Singapour – Singapour
- Carmela Troncoso, EPFL – Suisse
- Narseo Vallina, IMDEA Networks Institute, ICSI et Université de Californie, Berkeley – Etats-Unis
- Christo Wilson, Université de Northeastern – États-Unis