Angry Birds, nid d'espions

Stéphane Moussie |

Les services de renseignements américains et britanniques se servent d'applications installées sur les smartphones pour récolter des données personnelles des utilisateurs. La localisation, l'âge et le sexe de l'utilisateur, entre autres, sont remontés à la NSA et au GCHQ par Angry Birds notamment.

Photo Nisa yeh CC BY-SA

Le New York Times révèle cet espionnage des possesseurs de smartphones sur la base de documents confidentiels divulgués par Edward Snowden, l'ex-consultant de la NSA en fuite en Russie.

Depuis 2007, les deux agences de renseignement anglo-saxonnes ont mis en place des mécanismes pour aspirer les carnets d'adresses, journaux téléphoniques et les données géographiques des photos envoyées sur les versions mobiles de Facebook, Flickr, LinkedIn, Twitter et d'autres services.

Les smartphones représentent une mine d'or pour la NSA et le GCHQ avides de données. Une ressource comparée au Golden Nugget, un casino à Las Vegas (ou plus simplement une pépite d'or), par un analyste du renseignement dans une présentation. Autrement dit, c'est jackpot.

La surveillance des téléphones n'est pas une nouveauté en soi. Les agences épient depuis toujours la « téléphonie traditionnelle » — appels vocaux, SMS. Elles ont étendu au cours des dernières années leur champ d'action aux nouveaux usages, catégorisés de la manière suivante : « applications sociales », « applications de géolocalisation », « liens http », webmail, MMS, données associées aux publicités mobiles...

Les services de renseignement sont d'ailleurs très friands des données publicitaires. Les régies pubs constituent en effet des profils d'utilisateurs — basés sur l'historique de navigation, d'applications, la géolocalisation... — pour pouvoir proposer des annonces ciblées. La NSA et le GCHQ ont « seulement » à s'emparer de ces profils tout prêts pour faire grossir leur base de données.

C'est ainsi qu'Angry Birds, le jeu le plus populaire sur smartphone, sert à récolter des données privées. Un rapport confidentiel britannique de 2012 détaille le code nécessaire pour faire remonter les profils des joueurs d'Angry Birds sur Android, plateforme sur laquelle le jeu contient de la pub. La teneur de ces profils varie en fonction des régies publicitaires — celles de Google et Burstly sont notamment utilisées —, mais la plupart d'entre eux contiennent l'identifiant du téléphone, l'âge de l'utilisateur, son sexe et son emplacement géographique.

Selon le même document, la régie publicitaire Millennial Media recense des informations « optionnelles » : origine géographique, statut marital et orientation sexuelle. Il n'y a pas d'explication sur comment Millennial Media parvient à renseigner ces catégories.

Google et Millenial Media n'ont pas voulu commenter le sujet, tandis que Burstly n'a pas répondu aux sollicitations du New York Times. Une porte-parole de Rovio, l'éditeur d'Angry Birds, a indiqué que l'entreprise n'avait pas connaissance d'un tel programme de surveillance et n'avait pas coopéré avec les agences de renseignement.

Google Maps fait aussi l'objet d'une attention particulière. Dans un rapport de 2007, la NSA indique qu'elle pourrait « cloner la base de données de Google » des recherches d'itinéraires tellement elle dispose de données.

Rien dans les documents n'indique que les développeurs des applications et des services ont collaboré avec les agences de renseignement. Le nombre d'utilisateurs touchés par cet espionnage n'est pas précisé.

Le GCHQ a répondu que ses activités étaient en conformité avec la loi. La NSA a déclaré qu'elle ne surveillait pas les citoyens américains lambda et que des mesures étaient prises pour préserver leur confidentialité au cas où leurs données se trouvaient accidentellement interceptées.


avatar agerber | 
Un silence assourdissant de nos hommes politiques français. Comme quoi l'espionnage massif par une organisation étrangère de nos déplacements, contacts et fichiers ne sont pas d'une grande importance.
avatar Tibimac | 
@rikki finefleur "Comme quoi l'espionnage massif par une organisation étrangère de nos déplacements, contacts et fichiers ne sont pas d'une grande importance." Inversement, je ne sais plus trop quoi penser... Mes déplacements, mes contacts, mes fichiers n'ont aucune importance (sauf mes fichiers s'ils sont utilisés dans un but frauduleux pour me nuire, me piquer mes sous, mon identité, mais ce n'est pas le cas ici). Cet espionnage est manifestement ancien, je n'ai pas la sensation que cela m'ait nuit ou ait impacté d'une façon ou d'une autre sur mes libertés personnelles et de citoyen, et je dois avouer que ma crainte que ça m'arrive un jour en France est plus que limitée. Mais probablement suis-je inconséquent. Après, je ne suis pas un homme politique important (ni pas important, d'ailleurs), ni un industriel possédant des informations techniques ou commerciales importantes et confidentielles, mais ça me parait relever alors d'une autre sorte d'espionnage que celui de masse dénoncé ici.
avatar agerber | 
patrick86 C'est aussi cela qui est inquiétant, notre léthargie totale, ou la reconnaissance de la domination US et notre asservissement de type féodal. SI pour les particuliers cela n'a pas grande importance, pour les entreprises, il y a vol manifeste de nos données envers des puissances étrangères. A noter que la classe journalistique ne pose jamais de questions là dessus . Pourtant ce ne sont pas les entretiens à la TV ou à la radio qui manquent ! PS : Comparer la DGSE et la NSA, est comme comparer un poisson rouge dans un bocal avec un étal de poissonnerie (excuses moi).
avatar iBatman5s | 
On nous prend pour des "pigeons" !
avatar Momblues | 
@Ibatman5s +10000 Mdr
avatar Tibimac | 
@beelzebub Oui, oui, votre vie passionne la NSA, aucun doute là dessus. La mienne, j'en suis moins convaincu.
avatar Tyrael | 
Certains publient aussi que les services français ont des accords d'échange de données avec les USa, notamment en matière de metadonnées. Officiellement la France est scandalisée de la portée de l'espionnage de la NSA mais officieusement continue à donner accès aux meta données qui transitent par ses opérateurs en échange de la capacité de traitement et d'analyse de la NSA. Il y a plusieurs articles sur le sujet dans la presse française...
avatar tigre2010 | 
À ceux qui croient que leur vie ne sont d'aucune valeur, il arrive fréquemment que certain se la fasse volée.
avatar Tibimac | 
@usb09 Il n'est pas question du vol d'identité ici. Vous confondez tout.
avatar eipem | 
Ahah ! C'est EXACTEMENT ce que je disais à propos de la base de données de Google. Qui a accès à ses données ? Comment se protéger des partenaires mal intentionnés? Je remarque autre chose. Quand c'est Google qui est fautif, mais que les rageux habituels ne peuvent pas se lâcher, la discussion diverge irrémédiablement sur l'incompétence du gouvernement. "Quoi ? On se fait ponctionner grâce à la politique de confidentialité calamiteuse de Google ?! Mais c'est un scandale ! Encore la faute de ces salauds de socialistes!" Édifiant... @Phantoom "Quand je vous dis que les fuites viennent des apps et pas du système" C'est un peu facile, quand tu sais qu'Android ne propose aucun outil de contrôle par défaut et que Google est opaque sur ce qu'elle fait des données utilisateurs. Par ailleurs, et ça me fait bien rire, tu dois rooter ton téléphone pour installer LBE Security Master. C'est pas exactement la solution accessible à tous. Et d'après ce que j'ai pu voir sur le net, c'est pas super facile de l'installer sur KiKat. Et puis d'après ce forum, c'est pas génial. http://tablette-chinoise.net/lbe-security-master-t4138 "C'est déjà bien, mais ce n'est pas suffisant. Tu donnes quand même ton numéro d'IMEI ainsi que ton numéro d'appareil, ta localisation, etc." J'ajouterai qu'on ne sait rien de Lamian, le développeur de LBE. Il n'a aucun site internet. Dans le genre opaque aussi celui-là... Bref, j'ai quand même un peu l'impression que tu cherches à te voiler la face.
avatar eipem | 
@Phantoom ""Quoi ? On se fait ponctionner grâce à la politique de confidentialité calamiteuse de Google ?! Mais c'est un scandale ! Encore la faute de ces salauds de socialistes!"" 2) je vois pas où tu as lu ça... Là: Rikki Finefleur "Un silence assourdissant de nos hommes politiques français." et puis là Jean-Luc Droid "Vu l'état de la France, il n'y a plus espionnage industriel intéressant pour les autres nations..." Bien sûr, c'est pas "en français dans le texte", mais c'est tout comme.
avatar eipem | 
@phantoom "Quand à la politique de confidentialité il n'y a que ceux qui ne s'y sont jamais intéressé pour parler sans savoir... Comme toi..." C'est ça... Moi et... La CNIL. Marrant que Microsoft et Apple ne soient pas emmerdés tiens. L'opacité tient à CE que communique Google. On en sait RIEN. "Oui c'est facile,parce que c'est le cas malheureusement, et l'outil dont tu dispose sur IOS ne te protège pas de ce qui est expliqué plus haut. Dans le cas contraire les Apps IOS ne seraient pas prédisposé en envoyer des données que les même sur Android." Bien sûr que si, parce que sur iOS, tu peux bloquer les apps une à une ET désactiver le suivi publicitaire, soit la source même des données. "Certes il faut être root pour avoir le contrôle de son appareil, comme sur IOS ou n'importe quel matériel informatique... Le fait d'être root permet de ne rien laisser passer. J'ai pas dis que c'était accessible a tous mais au moin ça a le mérite d'exister sur Android (j'ai pas trouvé d'équivalents sur IOS, même dans le monde du Jailbreak)" Le centre de confidentialité d'iOS fait exactement la même chose. De plus, elle bloque l'accès aux données de géolocalisation, ce que n'a pas l'air de faire LBE, en tout cas d'après les forums que j'ai visité. Par ailleurs, Jailbreaker son iPhone c'est PRECISEMENT le rooter. Donc non. Pas besoin de rooter pour avoir le contrôle de son téléphone, si les outils de contrôle en question sont intégrés à l'OS, mais je comprends que ce soit quelque chose de difficile à comprendre pour toi. "Avec le permission manager d'origine en effet (et encore la localisation est désactivable dans l'onglet "localisation"). Pas avec LBE ou Xprivacy qui eux permettent de faire taire complètement Toutes les applications, y compris celles du système et de manière très précise pour que l'app puisse quand même fonctionner (ex: accès internet pour l'application facebook mais pas accès au répertoire de l'appareil ni a l'IMEI)" Détaille un peu, parce que là j'ai l'impression que tu me sors ça du chapeau là. Je croyais qu'avec ton "LBE Security Master" t'étais déjà au poil ? En fait c'est un peu plus compliqué que ça ? Comme toujours en fait... "C'est peut être l'inverse en fait. Trouve moi un équivalent sur IOS et on en discute (ça me permettra de le mettre sur l'iphone de mes amis qui n'attendent que ça)" Réglages -> Confidentialité. TOUT y est: Localisation Contacts Calendriers Rappels Photos Partage Bluetooth Micro Twitter Facebook Suivi publicitaire limité On/Off Réinitialiser l'identifiant de publicité Et dans Général -> Informations -> Diagnostic et utilisation -> Envoyer/Ne pas envoyer ET les données de Diagnostic et Utilisation en question. TOUT est parfaitement transparent. Tiens, un exemple: Je bloque l'accès à la géolocalisation de l'appareil photo de sorte que ma position n'apparait pas dans les données Exif des photos que je publie sur Facebook. Fais en autant, de manière simple, sur un téléphone Android brut.
avatar eipem | 
@philoo34 C'est vrai que le discours a beaucoup changé, entre son Android "clean" et son Android rooté pour installer des APK particuliers et des bidouilles pour faire marcher un programme qui n'a fonctionné correctement que sur ICS mais avec des limitations, et développé par un obscur dont on ne sait rien... Suffit de taper LBE Security Master Android KitKat dans Google pour réaliser l'étendue du désastre.
avatar eipem | 
@philoo34 Phantoom c'est comme Mabeille. Dès qu'il est à court d'argument, il tombe dans l'argumentum ad hominem. Rien d'autre à dire, du coup il accuse les autres de ne pas savoir, parce que LUI sait tout et TOI tu ne sais rien. Personnellement, c'est vrai, je n'ai pas de périphériques sous Android. Mais mon meilleur pote si. Alors quand je sais pas, je lui demande. Parce que non seulement c'est un vrai geek, un pur un dur, tatoué "UNIX for Life" et tout, mais en plus lui au moins est honnête. Et en parlant d'être honnête, il attend sa transition définitive sur Ubuntu Touch d'ici peu, et d'ici là c'est service minimum sur Android. Par ailleurs, quand mon pote n'est pas dispo, je me contente de faire des recherches sur internet ou lire les compte-rendus de l'EFF. Bonne lecture d'ailleurs. C'est eux qui m'ont mis sur la voie de l'App Ops, LA bonne surprise de 4.3, dégagé de KitKat par Google parce que, je cite "c'était une fonction réservée aux développeurs qui n'aurait jamais du être accessible à l'utilisateur normal et qui est source d'instabilité dans le système. Alors tu penses, en bon agitateur que je suis, j'ai sauté sur l'occasion ^_^ PS: Dans ce cas là, j'utilise le terme agitateur plutôt que troll. Parce que le Troll est perclus de mauvaise foi, alors que l'agitateur lui c'est la raison qui l'anime. Ça ne veut pas dire que je ne m'autorise pas un bon petit troll de temps en temps ^_^
avatar eipem | 
@phantoom "Que se passe t-il dans le cas où l'application accede a des données sans te demander la permission (ces accès n’apparaîtrons pas dans le centre d'IOS)" Depuis l'affaire "Path", les apps n'ont plus la possibilité d'accéder à ces données sans ton consentement. C'est aussi simple que ça camarade. "Dans l'appareil photo je passe mon doigt sur "lieu" et voilà... Je peux même te faire une capture d’écran si tu veux..." C'est sûrement pour ça qu'il existe un logiciel payant sur Android pour virer ces données des photos avant de les publier: http://smartphones.wonderhowto.com/how-to/scrub-exif-data-from-photos-your-android-phone-before-sharing-them-0141415/ "Quand a la localisation dans les autres apps, ya aussi une option pour ça, toujours dans Android "stock" elle s'appelle "localisation"... Capture à l'appui si tu veux..." Tu ne peux pas désactiver la localisation dans une app, à moins que l'option soit disponible dans l'app elle-même. Soit tu coupes tout, soit tu coupes rien. Génial quand tu te sers souvent d'un GPS... "Quand je te dis que tu ne sais rien sur Android..." De la part d'un mec qui prétend tout savoir d'iOS mais qui n'y connait visiblement rien, ça me fait doucement pouffer. De la part d'un mec qui mythonne en plus... Bref. T'as aucun contrôle précis sur Android brut.
avatar eipem | 
@Phantoom Bien sûr que si tu mythonnes. Tu mythonnes tout le temps, et sans doute par ignorance. Quand tu expliques que "tes amis d'iOS aimeraient bien avoir la même chose" par exemple tu mythonnes parce que tes "amis" ont déjà la même chose. Tu mythonnes quand tu dis "oui dans Stock tu peux désactiver la geoloc" parce que dans stock tu peux juste désactiver le GPS, et rien d'autres. Pas de sélection fine. C'est tout ou rien. Tu mythonnes quand tu dis "moi avec mon Nexus 5 et LBE Security Master" j'ai pas de problème, parce que en fait "c'est plus compliqué", faut un autre truc, ça marche pas bien, faut rooter ton téléphone. Tu sais très bien que y a plein d'apps qui ne fonctionne plus correctement avec LBE. "il n’empêche qu'il est possible d'y ajouter une app qui se chargera du boulot de manière bien plus poussée que ce que fait IOS de base." Et tu mythonnes aussi en disant ça, parce que sur iOS tu sais EXACTEMENT ce qui est échangé et t'as un contrôle totale sur les accès des apps et sur les quantité de data échangées. Y compris avec les serveurs d'Apple. La différence c'est que sur Android, c'est très compliqué d'y parvenir, alors que sur iOS c'est disponible d'office. La différence c'est que tu ne sais pas qui est Lamian, et qu'il pourrait tout aussi bien être un agent chinois ou un dev de la NSA. Le coup du geo-tagging sur la photo, ce n'était qu'un exemple. Y en a des dizaines d'autres. Tu passes ton temps à dire qu'Android brut est clean. Et voilà qu'aujourd'hui tu retournes ta veste... Tu crois vraiment que 800 millions de téléphones Android en circulation, y en a beaucoup qui sont protégés ? "t'es coincé dans tes préjugés sur Android et tu refuse d'admettre que tu as tords." Mais je n'ai aucun préjugé sur Android. Ce dont je parle ce sont des faits. Ton LBE ne fait RIEN de plus que ce que propose déjà iOS. Si une app veut accéder à tes données, elle DOIT demander ton consentement. Si une app consomme de la data alors qu'elle ne le devrait pas, y a un onglet pour ça dans les réglages... Et c'est accessible à tous. Et s'il y a un défaut c'est Apple qui est responsable et personne d'autre. En tout cas pas un obscur développeur introuvable. Android c'est Google. La politique de Google est claire concernant la vie privée. Son modèle économique l'est tout autant. La disparition d'AdBlock Plus est édifiante à ce sujet. Comment peux-tu imaginer une seule seconde que Google ne va pas t'empêcher de détourner ses fonds, c'est à dire les informations sans lesquelles elle ne peut survivre ? Si Google veut savoir ta position, si elle veut savoir ce que tu installes, si elle veut savoir tes goûts, elle le saura. Et la NSA déguisée en régie publicitaire aussi. iOS et Android même combat. Sauf que Apple n'a pas besoin d'iAd pour survivre, alors que Google ne vit pas sans publicité. C'est aussi simple que ça. Si Apple veut supprimer le modèle "subventionné par la pub" de l'appstore, elle peut le faire. Google non.

CONNEXION UTILISATEUR