Yandex, champion russe de la tech, s’immisce dans une application de messagerie ukrainienne

AppMetrica est l'équivalent de Google Analytics pour les applications mobiles iOs ou Android. Cet outil permet aux éditeurs d'application mobile :

• de connaître le nombre d'utilisateur par pays,
• de savoir comment les utilisateurs découvrent l'application,
• de découvrir comment ils l'installent.

Ce service est proposé gratuitement par le géant russe. Parmi les applications du Google Play Store qui utilisent des outils de tracking, 33% utilisent AppMetrica (source : AppFigures).

Les outils de tracking permettent d'en savoir plus sur les visiteurs d'un site ou d'une application mobile. L'objectif : analyser leur comportement. Par exemple : à quelle page ou fonctionnalité quittent-ils la plateforme ? Y a-t-il des utilisateurs réguliers ? En identifiant ces comportements, les équipes marketings peuvent retravailler l'application ou le site - souvent pour conserver les utilisateurs sur le service le plus longtemps possible.

L'intégration simple et rapide d'AppMetrica se fait par un SDK. Or très souvent, peu d'entreprises ou de développeurs·ses lisent le code qui se cache derrière.

Le service d'analyse des utilisateurs offert par AppMetrica pose plusieurs problèmes :

• de nombreuses données utilisateurs sont récoltées,
• une grande quantité de permissions Android sont demandées aux utilisateurs (rendant accessibles des informations potentiellement sensibles : adresses IP, positions GPS...)
• les données sont stockées sur des serveurs russes et finlandais,
• le contexte actuel, très sensible, de la guerre en Ukraine.

Un exemple intéressant : l'application Call Ukraine, une messagerie gratuite lancée le 10 mars, intègre AppMetrica. Or le gouvernement russe se réserve le droit d'accéder à des informations sensibles concernant les utilisateurs mondiaux des outils de Yandex. Et d'après un chercheur en sécurité, le SDK permet de récupérer la localisation GPS d'une personne utilisant une application comportant AppMetrica.

Entre cybersécurité et cyberattaques, il est important de bien analyser les outils tiers avant de les incorporer dans des applications. Les utilisateurs·trices d'applications mobiles doivent aussi se méfier de services qu'ils / elles téléchargent, et se renseigner sur les services tiers intégrés.

Nos confrères chez Numerama ont détaillé une liste de 100 applications populaires en France utilisant AppMetrica.

Malheureusement, il existe d'autres services tiers peu connus mais largement utilisés, qui transmettent des données aux quatre coins du monde.

D'après une étude de l'université d'Oxford datant d'octobre 2018, près d'un tiers des applications du Google Play Store sont reliées à 10 SDK, et 1 sur 5 partagerait des données personnelles (source : Digital trends).

88% des applications analysés dans l'étude possèdent des SDK transmettant des informations à Google et 43% à Facebook.

Dans une conférence à San Francisco donnée en 2018, Roman Unuchek, chercheur en sécurité de Kaspersky Labs, déclarait que 4 millions d'application transmettent des données sensibles à des tiers sans encryptage au préalable. Par exemple :

• des informations concernant le smartphone (Samsung S10...)
• les coordonnées GPS
• des informations sur l'utilisateur·trice

Ici, on peut voir que le SDK mopub (affichage de publicité sur mobile) transmet en clair que :

• l'utilisateur possède un Samsung GT - I9300 (S3) avec une résolution de 320 x 480 pixels
• mcc (mobile country code) : 624 correspond au Cameroun (source : MCC-MCC)
• bundle correspond au nom de l'application, donc mopub connaît aussi le nom de l'application en service
• l'utilisateur est un homme de 27 ans
• le dernier point correspond à sa position GPS

Les SDK peuvent donc transmettre des informations sensibles à des pays tiers sans les sécuriser. Les utilisateurs n'en savent rien. Cette collecte incessante de données impacte aussi les performances des smartphones (batterie + ralentissement).

Jusqu'à récemment, Yandex n'avait jamais été mis en avant sur ces questions-là : ce sont les entreprises américaines qui étaient pointées du doigt. La guerre entre la Russie et l'Ukraine met donc en lumière de nouveaux acteurs, aux services aussi populaires que leurs équivalents américains... et aussi opaques.

[Photo de couverture : Izzy Gibson]