Logo des Enovateurs
Yandex, champion russe de la tech, s’immisce dans une application de messagerie ukrainienne

Yandex, champion russe de la tech, s’immisce dans une application de messagerie ukrainienne

L'entreprise Yandex est tout aussi efficace que Google lorsqu'il s'agit de collecter des données. L'un de ses outils les plus populaires, AppMetrica, pose des problématiques de sécurité concrètes dans le contexte de la guerre en Ukraine.

AppMetrica est l'équivalent de Google Analytics pour les applications mobiles iOs ou Android. Cet outil permet aux éditeurs d'application mobile :

  • de connaître le nombre d'utilisateur par pays,
  • de savoir comment les utilisateurs découvrent l'application,
  • de découvrir comment ils l'installent.
Un graphique d'audience sur la plateforme AppMetrica
Exemple d'audience par pays sur AppMetrica

Ce service est proposé gratuitement par le géant russe. Parmi les applications du Google Play Store qui utilisent des outils de tracking, 33% utilisent AppMetrica (source : AppFigures).

Les outils de tracking permettent d'en savoir plus sur les visiteurs d'un site ou d'une application mobile. L'objectif : analyser leur comportement. Par exemple : à quelle page ou fonctionnalité quittent-ils la plateforme ? Y a-t-il des utilisateurs réguliers ? En identifiant ces comportements, les équipes marketings peuvent retravailler l'application ou le site - souvent pour conserver les utilisateurs sur le service le plus longtemps possible.

AppMetrica est utilisé à 33% dans les applications présent sur le Google Play Store d'après AppFigures
AppMetrica et AppsFlyer sont sur le podium Android

L'intégration simple et rapide d'AppMetrica se fait par un SDK. Or très souvent, peu d'entreprises ou de développeurs·ses lisent le code qui se cache derrière.

Le service d'analyse des utilisateurs offert par AppMetrica pose plusieurs problèmes :

  • de nombreuses données utilisateurs sont récoltées,
  • une grande quantité de permissions Android sont demandées aux utilisateurs (rendant accessibles des informations potentiellement sensibles : adresses IP, positions GPS...)
  • les données sont stockées sur des serveurs russes et finlandais,
  • le contexte actuel, très sensible, de la guerre en Ukraine.

Un exemple intéressant : l'application Call Ukraine, une messagerie gratuite lancée le 10 mars, intègre AppMetrica. Or le gouvernement russe se réserve le droit d'accéder à des informations sensibles concernant les utilisateurs mondiaux des outils de Yandex. Et d'après un chercheur en sécurité, le SDK permet de récupérer la localisation GPS d'une personne utilisant une application comportant AppMetrica.

Yandex AppMetrica et ToolbarStudio sont présent dans la liste des SDK inclus dans l'application Call Ukraine
Les conditions d'utilisations de Call Ukraine

Entre cybersécurité et cyberattaques, il est important de bien analyser les outils tiers avant de les incorporer dans des applications. Les utilisateurs·trices d'applications mobiles doivent aussi se méfier de services qu'ils / elles téléchargent, et se renseigner sur les services tiers intégrés.

Nos confrères chez Numerama ont détaillé une liste de 100 applications populaires en France utilisant AppMetrica.

Adjust, AppMetrica et Admob sont présent dans l'application Viber

Malheureusement, il existe d'autres services tiers peu connus mais largement utilisés, qui transmettent des données aux quatre coins du monde.

D'après une étude de l'université d'Oxford datant d'octobre 2018, près d'un tiers des applications du Google Play Store sont reliées à 10 SDK, et 1 sur 5 partagerait des données personnelles (source : Digital trends).

Tableau indiquant que Alphabet alias Google a intégré 88% des applications mobile grâce à un SDK

88% des applications analysés dans l'étude possèdent des SDK transmettant des informations à Google et 43% à Facebook.

Dans une conférence à San Francisco donnée en 2018, Roman Unuchek, chercheur en sécurité de Kaspersky Labs, déclarait que 4 millions d'application transmettent des données sensibles à des tiers sans encryptage au préalable. Par exemple :

  • des informations concernant le smartphone (Samsung S10...)
  • les coordonnées GPS
  • des informations sur l'utilisateur·trice
Une diapositive de la présentation du chercheur de Kaspersky et qui décrit la transmission en clair des données du SDK mopub.
Exemple utilisé dans la conférence de Roman Unuchek

Ici, on peut voir que le SDK mopub (affichage de publicité sur mobile) transmet en clair que :

  • l'utilisateur possède un Samsung GT - I9300 (S3) avec une résolution de 320 x 480 pixels
  • mcc (mobile country code) : 624 correspond au Cameroun (source : MCC-MCC)
  • bundle correspond au nom de l'application, donc mopub connaît aussi le nom de l'application en service
  • l'utilisateur est un homme de 27 ans
  • le dernier point correspond à sa position GPS

Les SDK peuvent donc transmettre des informations sensibles à des pays tiers sans les sécuriser. Les utilisateurs n'en savent rien. Cette collecte incessante de données impacte aussi les performances des smartphones (batterie + ralentissement).

Jusqu'à récemment, Yandex n'avait jamais été mis en avant sur ces questions-là : ce sont les entreprises américaines qui étaient pointées du doigt. La guerre entre la Russie et l'Ukraine met donc en lumière de nouveaux acteurs, aux services aussi populaires que leurs équivalents américains... et aussi opaques.

[Photo de couverture : Izzy Gibson]

Jérémy PASTOURET
Jérémy PASTOURET
Journaliste en recherche constante de nouveaux outils plus légers, accessibles à tous et respectueux de la vie privée de leurs utilisateurs.

Commentaires

Ecrire un commentaire

Sobriété

Passez à l'étape supérieure :

Découvrez nos tutos !

Chargement d'un nouvel article...

Les Enovateurs

Rejoignez notre communauté de lecteurs

Retrouvez-nous aussi sur

linkedin