Développeurs, faites attention à ce que vous insérez dans le code de vos applications Android ! Les chercheurs en sécurité de la société AppCensus viennent de révéler l’existence d’un kit de développement baptisé Coelib.c.couluslibrary, qui siphonne en douce tout un ensemble de données particulièrement sensibles : numéros de téléphone, adresses e-mail, adresses MAC du réseau local, données GPS, données du presse-papier. De quoi transformer l’appli mobile en véritable logiciel espion.
« L’idée que ce collecteur de données aurait pu créer une base de données mappant l’e-mail et le numéro de téléphone réels d’une personne à son historique de localisation GPS précis est particulièrement effrayante.
Une telle base de données pourrait être utilisée pour générer l’historique de localisation d’une personne simplement en connaissant son numéro de téléphone ou e-mail, et pourrait être utilisée pour cibler des journalistes, des dissidents ou des rivaux politiques », estiment les chercheurs dans une note de blog.
Ce kit de développement — ou SDK — a été détecté dans une dizaine d’applications du Google Play Store, totalisant plus 60 millions de téléchargements.
On trouve dans la liste concernée des logiciels utilitaires (lecteurs de codes barre, souris virtuelle, météo…) et des logiciels de prière islamique. Depuis, cet étrange SDK a été supprimé des applications du Play Store. Mais qui se cache derrière ce logiciel ?
Officiellement, l’éditeur est une entreprise du Panama baptisée Measurement Systems. Sur son site Web, elle tente d’attirer les développeurs avec des niveaux de rémunérations alléchantes (« We pay the highest CPMs for your data ») et affirme respecter la confidentialité des données des utilisateurs.
A découvrir aussi en vidéo :
Mais certains indices font penser qu’il ne s’agit là que d’une devanture. Selon le Wall Street Journal, le nom de domaine de Measurement Systems a été enregistré en 2013 par Vostrom Holdings, une société américaine qui fournit des services au gouvernement américain par le biais de sa filiale Packet Forensics.
Par ailleurs, dans le comité de direction de Measurement Systems se retrouvent deux entreprises dont les adresses concordent avec celles de personnes liées à Vostrom. L’une de ces personnes a d’ailleurs enregistré aux États-Unis une société du nom de Measurement Systems LLC. Celle-ci a été radiée quand les journalistes du WSJ ont commencé à enquêter sur le sujet.
Autre information : parmi les actionnaires de Packet Forensics se trouve un certain Rodney Joffe, un consultant en cybersécurité qui serait spécialisé dans la collecte de données pour les agences gouvernementales. Il travaillerait notamment sur des projets classés secret défense.
Tout ce faisceau d’indices fait donc penser à une opération de collecte de données au bénéfice des agences de renseignement américaines. Il n’y a pour l’instant aucune preuve pour l’affirmer, mais ce ne serait pas étonnant.
Par le passé, le WSJ avait déjà dévoilé l’achat en masse de données de géolocalisation par les agences gouvernementales auprès d’entreprises privées. Les applications mobiles deviennent une source d’information d’autant plus intéressante que le trafic Internet est de plus en plus chiffré.