Des apps populaires capturent l'écran des utilisateurs sans leur dire

Stéphane Moussie |

Mise à jour — Apple a réagi et exige un changement dans le code des applications incriminées. Sous peine de se voir éjectées de l’App Store…

Article original — Certaines applications iOS scrutent leur utilisation à un tel point que cela en devient problématique. TechCrunch met en lumière Glassbox, un outil d’analyse intégré à des apps qui capture l’écran de l’iPhone lorsque celles-ci sont utilisées, puis envoie les images à l’éditeur ou bien à Glassbox lui-même.

Les informations sensibles, comme les mots de passe et les données bancaires, sont censées être masquées automatiquement par l’outil, or The App Analyst a découvert que ce n’était pas toujours le cas.

Les informations sensibles ne sont pas toujours masquées correctement lors des captures. Image The App Analyst.

L’application Air Canada enregistre automatiquement l’écran de l’utilisateur puis le transfère sur ses serveurs sans masquer correctement les infos privées. Une opération d’autant moins rassurante que la compagnie aérienne a vu fuiter l’année dernière les données de 20 000 clients. Air Canada a déclaré à TechCrunch que Glassbox lui servait à répondre aux problèmes des utilisateurs.

Abercrombie & Fitch, Hotels.com et Singapore Airlines, entre autres, utilisent également Glassbox, en masquant plus ou moins bien les données sensibles. À aucun moment ces apps n’informent les utilisateurs que leurs actions et saisies sont enregistrées.

Quant à Glassbox, il n’est ni nouveau ni le seul sur ce marché. Appsee et UXCam permettent aussi aux développeurs de « voir [leur] app à travers les yeux des utilisateurs ». Apple va-t-elle encadrer cette pratique ?

avatar shaba | 

Il faut absolument qu’Apple réagisse à cela, sinon tous ses beaux discours sur la vie privée tomberont à plat.

avatar occam | 

@shaba

Les discours d’Apple sur la confidentialité n’engagent que ceux qui y croient.

avatar shaba | 

@occam

J’y crois car Apple ne le fait pas par bonté d’âme ou par conviction mais par intérêt. Ils se positionnent à l’opposé de Google et doivent donc veiller au grain. Sans ça leur image va en prendre un sacré coup. J’attends donc une réaction ferme et rapide d’Apple.

avatar occam | 

@shaba

"J’attends donc une réaction ferme et rapide d’Apple."

Reste la question de la crédibilité et de la fiabilité d’une telle réaction.

Quels sont les gages que pourrait offrir Apple ?

Comment saurions-nous que toutes les apps validées sur App Store seraient dêsormais effectivement exemptes de capteurs illicites ?

Pour que de telles assurances soient crédibles et vérifiables, il faudrait qu’Apple entreprenne une politique d’ouverture et de transparence absolument sans précédent.

Je serais le premier à saluer et à encourager une telle initiative.

avatar bidibout | 

Alors là je tombe de très haut 😳 Au final on vante Apple depuis longtemps sur la confidentialité mais ils permettent des choses qui nous mettent à découvert d'une façon hallucinante... J'imagine que la fonction "enregistrement de l'écran" que l'on peut bloquer via les restrictions ne s'applique pas à ce système ?

avatar Bigdidou | 

@bidibout

« Alors là je tombe de très haut 😳 »

Heu moi aussi. J’ai peur d’avoir mal compris.
Il n’est tout de même pas possible à une app d’envoyer une copie d’écran quelque part à mon insu ?
C’est ce que j’ai compris, mais ça me paraît trop fou. Qu’est-ce que j’ai raté ?

avatar bidibout | 

@Bigdidou

Ça ne fait pas une copie d'écran mais ça enregistre tout ce que tes doigts font dessus et donc sur quoi tu cliques et ce que tu entres comme infos. Enfin c'est ce que j'ai compris de mon côté.

avatar Bigdidou | 

@bidibout

« ça enregistre tout ce que tes doigts font »

La, tu me vois en mode panique ;)

Plus sérieusement, il est écrit : « L’application Air Canada enregistre automatiquement l’écran de l’utilisateur puis le transfère sur ses serveurs sans masquer correctement les infos privées »

Je trouve ça énorme si c’est bien une copie d’écran et sans autorisation explicite.

avatar SyMich | 

Ça envoie bien des copies d'écran à votre insu...
"un outil d’analyse intégré à des apps qui capture l’écran de l’iPhone lorsque celles-ci sont utilisées, puis envoie les images à l’éditeur ou bien à Glassbox lui-même."

avatar Bigdidou | 

@SyMich

Bon. Donc des infos peuvent être envoyées puis surtout stockées à ton insu.
Il faut réfléchir à froid aux implications et aux possibilités d’utilisation malveillante que ça entraîne, mais instinctivement, c’est très désagréable.

Après, si tu remplis un formulaire, c’est pour l’envoyer.
A priori, les mots de passe sont censés ne pas apparaître en clair.
Les données bancaires, par contre, c’est pas censé aller ailleurs que dans les systèmes de paiement... Enfin, il me semble. Ce que je comprends moins, ce sont les situations où tu les saisis au sein d’une app.
Donc bon, à méditer sérieusement.

avatar shaba | 

@Bigdidou

En lisant l’article original je comprends que ce sont les interactions de l’utilisateur qui sont enregistrées. Appuis sur des boutons, glissements etc. Le problème est surtout que certaines apps ne masquent pas les données et les transfèrent brutes aux devs.

avatar bidibout | 

@SyMich

Donc la restriction que l'on peut activer dans iOS pour empêcher l'enregistrement de l'écran n'est pas sensée être une parade ?

avatar pulsarium | 

Une restriction pour empêcher l'enregistrement de l'écran ? ça n'existe pas 🤔

avatar bidibout | 

@pulsarium

Dans temps d'écran quand tu actives les restrictions il y a une option pour empêcher l'enregistrement de l'écran mais je crois que ça se limite à l'enregistrement (capture vidéo) de l'écran que l'on peut déclencher via le raccourci du centre de contrôle.

avatar Jeamy | 

Il y quelques jours j’ai dit que Apple et Android : même combat pour les fuites et sécurité, je me suis fais allumer ....
Toujours pas d’accord ?

MDR

avatar shaba | 

@Jeamy

Toujours pas d’accord non. Il n’y a rien de pire que Google si ce n’est Facebook.

avatar Jeamy | 

@shaba

Oui, mais ils ne s’en cachent pas et comme c’est gratuit, ce sont nous les produits ...
Par contre Apple n’est pas gratuit et font de leurs succès la réputation de la confidentialité des données de leurs clients.
A part que ....

Rien ne vaut un bon Nokia 3610

avatar shaba | 

@Jeamy

Je suis d’accord, j’attends des éclaircissements rapides. Pour Google, je pense que la plupart des gens ne connaissent pas l’ampleur de ce qui est collecté en fait. J’avais entendu quelque part que Google nous connaît mieux que nous nous connaissons et ça fait un peu peur quand même :)

avatar Seb42 | 

@Jeamy

Tout ce qui est numérique n’est pas gage de sécurité. Il faut être naïf pour croire l’inverse.

Maintenant, moi je ne crois pas une seconde que Apple soit comme Google a moins de jouer au rageux

Apple fait 1000 fois plus que Google pour la vie privée, si on peut dire qu’ils font quelques choses d’ailleurs.

Tant qu’ils ne sont pas obligés par une loi.

La pratique en question n’est pas normal et il est sûr qu’Apple agira.

avatar JOHN³ | 

@Seb42

A part leur beau discours marketing tu peux nous en assurer à 100% ?

😉

avatar SyMich | 

Apple agira... et Apple a agi.
Mais comme chaque fois, ils n'agissent qu'une fois l'affaire révélée publiquement!
Au départ, c'est quand même Apple qui a validé l'app Glassbox en sachant très bien ce que ces outils permettent!
Combien d'autres "Glassbox" existent encore sans qu'on le sache?

avatar anonx | 

@shaba

Ça reste à prouver...

les fuites provenant d’un iPhone sont d’un tout autre calibre 🙈

Facebook impossible à détrôner évidemment 🤮

avatar Grizzzly | 

@Jeamy

Pas d’accord non.
Google assume la collecte de données comme business model.
Apple promeut la confidentialité comme argument de vente.
En l’occurence ce serait plutôt du laxisme de la part d’Apple.

avatar Jeamy | 

@Grizzzly

Absolument d’accord, c’est ce que sous-entendait en disant que le manque de sécurité était le même chez pour Androïd et Apple mais à la différence, c’est que Apple le met en avant, nous le fait payer cher pour pas grand chose puisque apparemment son système censé être fermé est aussi poreux que Androïd

avatar SyMich | 

Mais pourquoi ce n'est jamais Apple qui découvre ces pratiques douteuses pour y mettre un terme?
Ils n'ont pas les moyens de tester correctement les apps qu'ils mettent en vente sur leur store?

Je ne serais pas surprise de voir fleurir des procès contre Apple dans les prochains jours s'appuyant sur cette nouvelle révélation... (Apple qui vend ces applications est tout autant responsable que les développeurs concernés)

avatar shaba | 

@SyMich

Je me pose la même question, Apple doit savoir quelle API est utilisée et pour quelle raison. Vraiment étonnant, ils devaient en plus se douter qu’une telle chose finirait par sortir.

avatar pagaupa | 

@SyMich

Trop occupé à facturer les 30% 😜

avatar alexis83 | 

Le rgpd ne nous protège pas de ça ?

avatar jerry75 | 

Bon ... que dire si ce n’est que ces applications ainsi qu’Apple méritent un bon e grosse class action ...

avatar pat3 | 

En attendant on aimerait une liste de toutes les apps qui utilisent ce genre d’outils pour les virer de nos iPad et iPhone.
[edit]
Beaucoup de devs ici, vous pourriez nous aider ? J’imagine qu’on peut savoir assez facilement ce qu’utilise une app avec les outils de développement ?

avatar Kriskool | 

@pat3

+1

avatar Zefram | 

@pat3

👍🏻

avatar bidibout | 

@pat3

Entièrement d'accord !

avatar Sorabji | 

@pat3

Excellente idée 👍
Ce serait très utile, merci😊

avatar pulsarium | 

On peut télécharger l'IPA de l'application (= SDK sur Android), et ouvrir le fichier pour connaître les différents framework/librairies utilisé.
En plus de ça, on peut lancer son application à l'aide d'un proxy pour connaître toutes les requêtes réseaux entre l'app et les serveurs (CharlesProxy le fait très bien et peut être utilisé par toute le monde https://www.charlesproxy.com/)

Exodus commence depuis pas mal de temps à scanner les applications sur Android afin de connaître tous les mouchards, trackers...
https://reports.exodus-privacy.eu.org/fr/

avatar pat3 | 

@pulsarium

Merci pour les explications. Mais comment fait-on sur iOS?

avatar pulsarium | 

En téléchargeant toi même l'IPA via iTunes ou alors utiliser l'application Android pour connaître les trackers, car très souvent les outils sont les mêmes pour une même application. Exodus Privacy l'explique dans la FAQ

Apple’s DRMs strictly forbid us to investigate so we can not say. However, the applications of both OS are often made by the same teams/agencies and the trackers’ SDKs are often available for both Android and iOS. The suspicions are therefore strong that the trackers of one are also in the other.

avatar Rapsodan2 | 

J’avoue être scotché. Plus que Apple, c’est la politique de ces entreprises établies qui me choque. A mon sens ce n’est pas en conformité avec la RGPD. J’espère que des entreprises comme Hotel et Air Canada se feront taper sur les doigts...

avatar arnaud06 | 

Moi ce qui m’énerve au plus haut point c’est qu’on a l’impression que des entreprises proposent un service à prix coutant ou low cost et qu’en fait ils utilisent cette offre alléchante pour générer du trafic sur leurs apps et constituer des fichiers de données non anonymes et le revendre à prix d’or.
Le tout dans la plus parfaite clandestinité.
C’est écoeurant

avatar arnaud06 | 

Pour réagir notez ces apps une étoile sur l’app store avec un commentaire sur leurs pratiques indignes.

avatar shaba | 

@arnaud06

Bonne idée ça oui 👍

avatar Filou53 | 

@Arnaud06
Excellente idée en effet

Ceci dit, au lieu de
- nous assomer d'émojis inutiles (je suis un vieux con râleur, je sais)
- nous censurer le moindre bout de sein qui dépasse (râleur et vicelard, oui, je sais)
Apple ferait mieux de s'occuper des choses importantes...

Mais évidemment, ce brave Tim nous dira, en bon financier qu'il est, que cela rapporte moins et que donc...
(même si je reste jusqu'ici persuadé qu'il y a bien pire qu'Aplle ;-)

avatar pulsarium | 

Je vais parler en tant que développeur d'application sur iOS.
Quand vous développer une application peu importe Android ou iOS, vous êtes le maçon, l'architecte, le designer donc vous savez tout ce qui se passe dans l'application.

Vous ajoutez par exemple un simple bouton sur un écran, vous pouvez mettre un petit message dans la console de debugger pour dire que vous avez cliqué dessus. Maintenant vous pouvez ajouter en plus de ce message une base de données dans laquelle vous enregistrer ce message à chaque fois avec la date et l'heure et ainsi de suite. Ensuite toutes les 5 minutes vous pouvez envoyer ce fichiers sur un serveur distant sans que personne le sache (enfin les utilisateurs).

Un autre exemple, lorsque vous payer avec une carte bancaire, le champs où vous rentrez vos numéros, pour vérifier que ce vous rentrez est correcte, on ajoute des dizaines de lignes de code (vérification de la taille, caractères spéciaux...). Le développeur peut très bien stocker ce code de carte bancaire quelque part et il peut très bien les envoyer sur un serveur distant sans que personne le sache vu qu'on a pas accès au code source... (on peut analyser le réseaux par contre via des proxy)

Dans l'article, l'enregistrement de l'écran est normal vu que le développeur à la main sur TOUTE son application ! Par contre, l'accès au données de localisations, APN, album photo n'est pas possible sans l'autorisation de l'utilisateur

Je ne vois pas comment c'est possible de contrer ces méthodes, ce qui est problématique c'est d'envoyer à tiers des informations sensibles sans que l'utilisateur le sache ... ça c'est du niveau légal !

avatar hirtrey | 

@pulsarium

C’est pour cela que  devrait se « proteger » contre ça.
A l’installation d’une application. Le système doit interdir par défaut :
- utilisation la 3G/4G
- utilisation wifi
- Copie d’écran
- utilisation que du protocole http.
- tracer par appli les trames réseaux
- et j’en oubli

Puis se vanter qu’il protège la vie de l’utilisateur.

avatar pulsarium | 

- utilisation la 3G/4G & Wifi : Désactiver le réseau pour une application comme une lampe torche, oui c'est une bonne idée ;)
- Copie d'écran : tu ne peux rien y faire, tu peux récupérer en temps réel tous les élément que contient un écran, pas possible de le contrer
- le HTTPS (t'as oublié le S) est obligatoire, mais ça ne change rien, tu peux tout envoyer n'importe quel donnée en HTTP
- tracer par appli les trames réseaux : En fait ce qu'il faudrait faire dans une application c'est une liste blanche pour savoir quels sont les domaines autorisés à communiquer avec l'application
Par exemple, "monExample.com;monAutreExample.com" seraient les 2 seuls domaines autorisés et l'application n'a pas le droit de faire d'autre requête à "Google.fr"

avatar hirtrey | 

@pulsarium

Copie d’écran : c’est l’os qui te fournit les API, il savent donc exactement ce que tu fais. Si tu veux récupérer l’info sur un pixel de ton ecran, l’os le sait.

Http: je voulais dire le web. Fermeture de tous les ports. Tu fais passer ce que tu veux, donc c’est pour cela que j’ai mis de tracer les trames réseaux.

avatar pulsarium | 

J'ai oublié de préciser un autre point:
Lorsqu'on autorise l'application à accéder à l'appareil photo, le développeur peut cacher le rendu et peut prendre une vidéo de l'utilisateur sans que l'utilisateur lance l'appareil photo par lui même, pendant toute la durée d'utilisation de l'application...

avatar hirtrey | 

@pulsarium

Et en plus il peut tracer exactement tes déplacements

avatar pat3 | 

@pulsarium

En fait, au moins dans un premier temps, il faudrait un équivalent à LittleSnitch pour iOS. Mais j’imagine qu’Apple n’autoriserait pas une telle appli ?

avatar ineedsomebodyhelp | 

Je suis impatient que l'application de Patrick Wardle équivalente à Little Snitch mais pour iOS ne soit plus en alpha / bêta. Là on va découvrir beaucoup de choses et on pourra bloquer tous les analytics and co.
https://objective-see.com/products.html

Pages

CONNEXION UTILISATEUR