Discussion :

[Bill Fassinou]

Un code de collecte de données dans des applications mobiles envoie les données des utilisateurs à la société russe Yandex
plus de 52 000 applications Android et iOS seraient concernées

Yandex, la plus grande société Internet de Russie, aurait intégré dans les applications pour smartphones un code qui permet d'envoyer des informations sur des millions d'utilisateurs à des serveurs situés dans son pays d'origine. Le code serait dissimulé dans son SDK (kit de développement logiciel) AppMetrica qui permet aux développeurs de créer des applications pour les appareils fonctionnant sous iOS et Android. La révélation a suscité des inquiétudes quant à la sécurité des données, car la législation russe pourrait obliger la société à mettre ces données à la disposition du gouvernement russe.

Yandex, également appelé "Google russe", développe et distribue le SDK "AppMetrica". Les développeurs l'utilisent ensuite pour créer de nombreux types d'applications telles que les jeux, les applications de messagerie, les applications VPN, etc. Mais il est apparu récemment que AppMetrica dissimule un code permettant à Yandex de collecter discrètement les données personnelles des utilisateurs des applications qui l'intègrent. La découverte a été faite pour la première fois par le chercheur Zach Edwards dans le cadre d'une campagne d'audit des applications pour Me2B Alliance, une organisation à but non lucratif.

D'autres experts auraient ensuite confirmé l'existence d'un tel code dans le SDK. Yandex a reconnu que son SDK collecte des informations sur les "appareils, les réseaux et les adresses IP" qui sont stockées "à la fois en Finlande et en Russie", mais la société a qualifié ces données de "non personnalisées et très limitées". Elle a ajouté : « bien que cela soit théoriquement possible, dans la pratique, il est extrêmement difficile d'identifier les utilisateurs en se basant uniquement sur ces informations collectées. Yandex ne peut absolument pas le faire ». Pour Yandex, "AppMetrica n'est pas une menace pour les utilisateurs".

Le géant technologique russe a ajouté qu'AppMetrica fonctionne comme n'importe quel autre outil. Ces révélations interviennent à un moment critique pour Yandex qui tente depuis longtemps de tracer une voie indépendante sans s'attirer les foudres du président russe Vladimir Poutine, qui souhaite un contrôle accru d'Internet. La société a déclaré qu'elle suivait un processus interne "très strict" dans ses relations avec les gouvernements. Elle souligne : « toutes les demandes qui ne respectent pas toutes les exigences procédurales et juridiques pertinentes sont rejetées ». Mais ces explications ne suffisent pas pour convaincre les critiques.

Cher Scarlett, anciennement ingénieur logiciel principal en sécurité mondiale chez Apple, a déclaré qu'une fois les données des utilisateurs collectées sur les serveurs russes, Yandex pourrait être obligé de les soumettre au gouvernement en vertu des lois locales. D'autres experts ont déclaré que les métadonnées du type de celles collectées par Yandex pourraient être utilisées pour identifier les utilisateurs. Ron Wyden, président de la commission des finances du Sénat américain, a vivement critiqué Google et Apple pour ne pas avoir fait suffisamment d'efforts afin de protéger les smartphones contre le logiciel Yandex.

AppMetrica aurait trouvé sa place dans 52 000 applications touchant des centaines de millions de consommateurs. « Ces applications s'emparent des données privées et sensibles des applications présentes sur votre téléphone, menaçant ainsi la sécurité nationale américaine et la vie privée des Américains et d'autres personnes dans le monde », a-t-il déclaré. Yandex, également considéré comme un géant mondial de la technologie, est coté à la Bourse de New York et détenu majoritairement par des fonds américains. Il est constitué en société à Amsterdam, et selon certains rapports, son fondateur Arkady Volozh vivrait en Israël.

En 2019, la société aurait conclu un accord avec le gouvernement russe, codifiant une structure qui garantit que Moscou peut intervenir sur certaines questions telles que les acquisitions étrangères, sans contrôle des opérations quotidiennes. En outre, l'invasion russe en Ukraine aurait brisé ses ambitions internationales, fait chuter son cours en bourse et amené certains partenaires occidentaux à couper les ponts. Le directeur exécutif de la société, Tigran Khudaverdyan, aurait démissionné la semaine dernière après avoir été visé par les sanctions de l'UE destinées à frapper les actifs des hommes d'affaires considérés comme proches du Kremlin.

Parmi les applications dans lesquelles AppMetrica est installé, on trouve des jeux, des applications de messagerie, des outils de partage de localisation et des centaines de VPN, des outils conçus pour permettre aux gens de naviguer sur le Web sans être suivis. Sept de ces VPN seraient spécialement conçus pour un public ukrainien. « Le SDK AppMetrica prétend fournir des services appropriés, tout en téléphonant à Moscou avec des détails de métadonnées profondément invasifs qui peuvent être utilisés pour suivre les personnes sur les sites Web et les applications », a déclaré Edwards, qui a découvert le code pour la première fois.

« Pour les personnes ayant un profil de menace élevé ou travaillant dans des emplois très médiatisés, l'utilisation d'applications qui envoient ces données à Moscou est dangereuse et peut potentiellement conduire à des attaques sur les réseaux domestiques ou à d'autres formes de surveillance numérique », a-t-il ajouté. Le sénateur Wyden a renchéri en déclarant que le discours rhétorique d'Apple et de Google selon lequel l'App Store et le Play Store sont des plateformes sûres pour les utilisateurs n'est qu'une "vaste fumisterie". Selon le politique, Apple et Google auraient dû révéler la collecte de données d'AppMetrica il y a longtemps.

Extrait des conditions d'utilisation de "Call Ukraine"

« Apple et Google soutiennent que leur contrôle de type monopolistique sur leurs magasins d'applications est nécessaire pour assurer la sécurité des consommateurs. Chaque jour où des applications construites à partir du SDK de Yandex restent dans ces magasins est une preuve supplémentaire que la sécurité des consommateurs qu'ils prétendent offrir est une illusion », a déclaré Wyden. Par ailleurs, Yandex a défendu l'utilisation de son SDK, affirmant qu'il "fonctionne de la même manière que ses homologues internationaux", notamment Google Firebase, présent dans plus de 2 millions d'applications Android.

L'entreprise a déclaré qu'elle ne collectait des données qu'"après que l'application a reçu le consentement des utilisateurs" en passant par les applications Android et iOS. « Nous informons les développeurs concernant le fonctionnement d'AppMetrica, et ils sont tenus, si la loi l'exige, d'obtenir le consentement de leurs utilisateurs. Nous n'avons jamais donné d'informations sur les utilisateurs des applications sur lesquelles AppMetrica est installé, et on ne nous l'a jamais demandé », a expliqué Yandex. De même, Apple a déclaré qu'AppMetrica ne pouvait pas accéder sans discernement aux données des utilisateurs, car le SDK nécessite un consentement.

Par contre, Patrick Jackson, directeur de la technologie chez Disconnect, un développeur d'outils de protection de la vie privée, explique que la raison pour laquelle les SDK peuvent présenter un risque est précisément qu'ils ne demandent pas de permission. « Au lieu de cela, ils s'appuient sur les autorisations que vous, l'utilisateur, avez données à l'application qui les intègre », a-t-il déclaré. De son côté, Google a reconnu qu'il lui restait du travail à faire pour offrir aux utilisateurs la transparence sur les SDK utilisés pour créer des applications et a déclaré qu'il mènerait une enquête sur les données collectées par AppMetrica.

Entre-temps, certains développeurs d'applications auraient commencé à retirer AppMetrica de leurs applications à la suite de l'invasion de l'Ukraine par la Russie. « Nous avons pris la décision de ne plus utiliser de services appartenant à la Russie lorsque la guerre a commencé », a déclaré un porte-parole de Gismart, qui fabrique des dizaines de jeux dans lesquels AppMetrica est installé. Le navigateur Web Opera, doté d'un VPN intégré, a déclaré avoir désactivé le SDK à partir du 15 février, en attendant sa suppression complète. Il n'a pas donné de raison, mais a laissé entendre qu'il était passé à sa propre plateforme publicitaire.

À l'inverse, des rapports indiquent que plus de 2 000 applications ont ajouté le SDK d'AppMetrica depuis l'invasion de l'Ukraine, dont plusieurs semblent conçues pour suivre les utilisateurs ukrainiens. Selon un rapport, "Call Ukraine", par exemple, est un "messager gratuit pour les Ukrainiens" qui a été lancé sur le Play Store le 10 mars en utilisant le drapeau bleu et jaune comme icône. Une fois téléchargée, l'application peut connaître l'identité d'un utilisateur et lire ses contacts.

Le développeur inclut une adresse e-mail factice : "help.service@Internet.ru." Cher Scarlett a déclaré qu'il était inquiétant qu'AppMetrica ait été installé dans 21 applications VPN juste au cours des 30 derniers jours. « Vous essayez d'être proactif en étant plus sûr, mais en fait vous vous rendez plus vulnérable », a-t-elle déclaré.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la collecte de données personnelles par les SDK ?
Selon vous, la collecte de données d'AppMetrica est-elle plus dangereuse que celle effectuée par les SDK fournis par Google, Apple et d'autres géants de la technologie ?

Voir aussi

« La CIA dispose d'un programme secret de collecte des données des Américains », d'après des sénateurs démocrates, qui indiquent en sus que la collecte se fait sans mandat

TikTok vient de s'autoriser à collecter des données biométriques sur les utilisateurs parmi lesquelles des « empreintes faciales et vocales »

Comment certaines applications Android échangent-elles des données avec Facebook, en particulier pour les mobinautes qui n'ont pas de compte Facebook ?

L'éditeur de l'application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook, avec son SDK « Facebook Login »

Il existe un marché de plusieurs milliards de dollars pour les données de localisation de votre téléphone, c'est une industrie énorme, mais très peu connue du grand public et non réglementée

[kain_tn]

Quel est votre avis sur le sujet ?

Rien de nouveau sous le soleil. Au cours des deux dernières années sur developpez, on a vu que dès que des apps utilisaient les SDK de Google, de Facebook ou autre, ils faisaient la même chose.

Il faudrait peut-être juste étendre le terme de GAFAM pour y inclure ceux qui émergent avec eux

Que pensez-vous de la collecte de données personnelles par les SDK ?

Je pense que je me suis suffisamment exprimé sur le sujet sur ce forum

Selon vous, la collecte de données d'AppMetrica est-elle plus dangereuse que celle effectuée par les SDK fournis par Google, Apple et d'autres géants de la technologie ?

Alors si je prend mon cas personnel, je les mets tous dans le même panier.

[TotoParis]

Est-ce franchement pire que ceci :

Les applications Googles Messages et Google Téléphone, installées nativement sur nombre de smartphones, auraient récolté discrètement un certain nombre de données personnelles, et ce sans en avoir informé au préalable l'utilisateur.


Sans oublier tout le programme de collecte de masse de la NSA...

[herr_wann]

Est-ce franchement pire que ceci :

Les applications Googles Messages et Google Téléphone, installées nativement sur nombre de smartphones, auraient récolté discrètement un certain nombre de données personnelles, et ce sans en avoir informé au préalable l'utilisateur.


Sans oublier tout le programme de collecte de masse de la NSA...

Evidemment que c'est pire. On parle d'applications qui visent les ukrainiens, pas les français. Quand tu es journaliste, activiste ou militaire ukrainien, savoir que l'ennemi qui détruit ton pays à coups de missiles et obus peut identifier tes contacts ou ta position géographique ne laisse rien présager de bon.

[eclesia]

Evidemment que c'est pire. On parle d'applications qui visent les ukrainiens, pas les français. Quand tu es journaliste, activiste ou militaire ukrainien, savoir que l'ennemi qui détruit ton pays à coups de missiles et obus peut identifier tes contacts ou ta position géographique ne laisse rien présager de bon.

Etant utilisateur de Yandex (en remplacement de Google,GoogleMaps,GoogleMail,...etc...) depuis plusieurs années. Les services sont exellent.
Et je ne suis pas russe, francais et vivant en france.

- Avez vous arrété d'acheter/d'utiliser des produits chinois quand ils ont prit le controle de la mongolie ou encore le massacre des Ouïghours ?
- Avez vous arrété d'acheter/d'utiliser des produits des USA avec toutes les données qu'ils collectent ou la pollution de leurs usines ou leurs différentes guerres pour l'argent ?
- Avez vous arrété d'acheter/d'utiliser des produits israelien avec tous ce qui se passe encore la bas ?

Ha c'est beau la haine et le racisme contre les russes... , car c'est la seule qui est 'morale' en ce moment.

[AoCannaille]

Il faudrait peut-être juste étendre le terme de GAFAM pour y inclure ceux qui émergent avec eux

Il existe BATX pour les géants chinois. Je n'en n'ai pas trouvé pour les russes.

[herr_wann]

Etant utilisateur de Yandex (en remplacement de Google,GoogleMaps,GoogleMail,...etc...) depuis plusieurs années. Les services sont exellent.
Et je ne suis pas russe, francais et vivant en france.

- Avez vous arrété d'acheter/d'utiliser des produits chinois quand ils ont prit le controle de la mongolie ou encore le massacre des Ouïghours ?
- Avez vous arrété d'acheter/d'utiliser des produits des USA avec toutes les données qu'ils collectent ou la pollution de leurs usines ou leurs différentes guerres pour l'argent ?
- Avez vous arrété d'acheter/d'utiliser des produits israelien avec tous ce qui se passe encore la bas ?

Ha c'est beau la haine et le racisme contre les russes... , car c'est la seule qui est 'morale' en ce moment.

Votre réponse n'a absolument aucun rapport avec le sujet. Je répondais seulement qu'il est bien plus dangereux d'utiliser des applications utilisant des services russes POUR LES UKRAINIENS
Et par pitié, épargnez moi l'argument de cours d'école consistant à dire que les autres font pareil, cela n’exonère en rien les horreurs perpétrées en ce moment.

Je n'éprouve aucune haine contre les russes, seulement contre la connerie humaine qui est répartie de façon homogène sur l’ensemble de la planète.

[escartefigue]

Je n'éprouve aucune haine contre les russes, seulement contre la connerie humaine qui est répartie de façon homogène sur l’ensemble de la planète.

D'autant moins qu'il n'y a aucune raison de confondre les Russes en général, avec Poutine en particulier.
Poutine décide seul, sans demander l'avis à sa population, pas plus sur le choix d'envahir l'Ukraine, la Georgie, l'Afghanistan ou toute autre région, que sur n'importe quel autre sujet.

[Invité]

Bonsoir,

Un code de collecte de données dans des applications mobiles envoie les données des utilisateurs à la société russe Yandex plus de 52 000 applications Android et iOS seraient concernées

Quel est votre avis sur le sujet ?

Combien de d'applis envoient de la data à Google et Apple ? ... On peut reprocher ce qu'on veut à Yandex avec le gouv Russe. Le gouv US et l'UE font pareil ...;

Que pensez-vous de la collecte de données personnelles par les SDK ?

Qu'il est un peu tard pour se reveiller.

Selon vous, la collecte de données d'AppMetrica est-elle plus dangereuse que celle effectuée par les SDK fournis par Google, Apple et d'autres géants de la technologie ?

Non.

Il existe BATX pour les géants chinois. Je n'en n'ai pas trouvé pour les russes.

Vk , Rambler , Mail.ru , Yandex ... sakh.com et avito.ru pour les equivalents du bon coin .

Etant utilisateur de Yandex (en remplacement de Google,GoogleMaps,GoogleMail,...etc...) depuis plusieurs années. Les services sont exellent.
Et je ne suis pas russe, francais et vivant en france.

- Avez vous arrété d'acheter/d'utiliser des produits chinois quand ils ont prit le controle de la mongolie ou encore le massacre des Ouïghours ?
- Avez vous arrété d'acheter/d'utiliser des produits des USA avec toutes les données qu'ils collectent ou la pollution de leurs usines ou leurs différentes guerres pour l'argent ?
- Avez vous arrété d'acheter/d'utiliser des produits israelien avec tous ce qui se passe encore la bas ?

Ha c'est beau la haine et le racisme contre les russes... , car c'est la seule qui est 'morale' en ce moment.

Avec les russes voilà on essaye de se donner "bonne conscience"