Une sonnette connectée qui embarque des traceurs tiers
Ring n'est pas seulement un produit qui permet aux utilisateurs de surveiller leurs voisins. L'entreprise l'utilise également pour surveiller ses clients.
Une enquête menée par le défenseur des droits numériques EFF (Electronic Frontier Foundation) sur l'application Ring Doorbell pour Android a révélé qu'elle était remplie de traceurs tiers envoyant une pléthore d'informations personnellement identifiables (PII) des clients. Il a été découvert que quatre principales sociétés d'analyse et de marketing recevaient des informations telles que les noms, les adresses IP privées, les opérateurs de réseau mobile, les identifiants persistants et les données de capteur sur les appareils des clients payants.
Le danger d'envoyer des informations, même de petite taille, est que les sociétés d'analyse et de suivi sont capables de combiner ces octets pour former une image unique de l'appareil de l'utilisateur. Cet ensemble cohérent représente une empreinte numérique qui permet de suivre l'utilisateur lorsqu'il interagit avec d'autres applications et utilise son appareil, offrant essentiellement aux traceurs la possibilité d'espionner ce que fait un utilisateur dans sa vie numérique et quand il le fait. Tout cela a lieu sans notification ou consentement significatif de l'utilisateur et, dans la plupart des cas, aucun moyen d'atténuer les dommages causés. Même lorsque ces informations ne sont pas utilisées à mauvais escient et utilisées précisément pour leur objectif déclaré (dans la plupart des cas, le marketing), cela peut entraîner toute une série de maux sociaux.
« Nos tests, qui se sont appuyés sur Ring pour Android version 3.21.1, ont révélé la livraison de PII à branch.io, mixpanel.com, appsflyer.com et facebook.com. Facebook, via son API Graph, est alerté lorsque l'application est ouverte et sur les actions de l'appareil telles que la désactivation de l'application après le verrouillage de l'écran en raison de l'inactivité. Les informations fournies à Facebook (même si vous n'avez pas de compte Facebook) comprennent le fuseau horaire, le modèle d'appareil, les préférences linguistiques, la résolution d'écran et un identifiant unique (anon_id), qui persiste même lorsque vous réinitialisez l'ID d'annonceur au niveau du système d'exploitation.
Données livrées à graph.facebook.com
« Branch, qui se décrit comme une plateforme de "lien profond", reçoit un certain nombre d'identifiants uniques (device_fingerprint_id, hardware_id, identity_id) ainsi que l'adresse IP locale, le modèle, la résolution d'écran et le DPI de votre appareil.
« AppsFlyer, une société de Big Data axée sur la plateforme mobile, reçoit un large éventail d'informations lors du lancement de l'application ainsi que certaines actions des utilisateurs, telles que l'interaction avec la section "Neighbors" de l'application. Ces informations incluent votre opérateur de téléphonie mobile, lorsque Ring a été installé et lancé, un certain nombre d'identifiants uniques, l'application à partir de laquelle vous avez installé et si le suivi AppsFlyer a été préinstallé sur l'appareil. Cette dernière information est probablement destinée à déterminer si le suivi AppsFlyer a été inclus en tant que bloatware sur un appareil Android bas de gamme. Les fabricants compensent souvent les coûts de production d'appareils en vendant des données sur les consommateurs, une pratique qui affecte de manière disproportionnée les personnes à faible revenu et a fait l'objet d'une récente pétition à Google lancée par Privacy International et cosignée par EFF.
« Plus alarmant encore, AppsFlyer reçoit également les informations issues des capteurs installés sur votre appareil (sur notre appareil de test, notamment le magnétomètre, le gyroscope et l'accéléromètre) et les paramètres d'étalonnage actuels.
« Ring donne de loin à MixPanel le plus d'informations. Les noms complets, les adresses e-mail des utilisateurs, les informations sur les appareils tels que la version et le modèle du système d'exploitation, si le Bluetooth est activé et les paramètres des applications tels que le nombre d'emplacements sur lesquels les appareils Ring sont installés, sont tous collectés et signalés à MixPanel. MixPanel est brièvement mentionné dans la liste des services tiers de Ring, mais l'étendue de leur collecte de données ne l'est pas. Aucun des autres traceurs répertoriés dans cet article n'est mentionné du tout sur cette page ».
Méthodologie
Tout le trafic que l'EFF a observé sur l'application était envoyé via HTTPS chiffré. De plus, les informations chiffrées ont été fournies d'une manière qui échappe à l'analyse, ce qui rend plus difficile (mais pas impossible) pour les chercheurs en sécurité la découverte et le signalement de ces graves atteintes à la vie privée.
L'analyse dynamique a été réalisée à l'aide de mitmproxy exécuté sur un point d'accès pour intercepter et analyser les flux HTTPS à partir d'un appareil de test Android. Pour supprimer le bruit généré par d'autres applications, l'EFF a installé l'application de pare-feu AFWall + et autorisé uniquement le trafic réseau de Ring. mitmproxy génère un certificat racine x509 qui doit être installé dans le magasin de certificats au niveau du système d'exploitation dans Android, permettant une interception active sur le trafic autrement sécurisé. Cela a conduit l'EFF à la découverte initiale que le certificat racine n'était pas accepté comme valide et qu'une forme d'épinglage de certificat était utilisée par l'application.
L'épinglage de certificat au niveau de l'application se produit lorsqu'une application valide les certificats d'un serveur distant par rapport à un enregistrement de ce certificat stocké dans l'application, plutôt que de valider par rapport à la liste des certificats racine dans le système d'exploitation. Ceci est souvent utilisé comme mesure de sécurité, pour garantir qu'une mauvaise délivrance de certificats ou une mauvaise gestion le long de la chaîne de confiance dans l'ICP ne compromet pas l'intégrité, la confidentialité ou l'authenticité du trafic HTTPS. Malheureusement, cela peut également empêcher les chercheurs en sécurité et les utilisateurs de voir exactement quelles informations ces appareils envoient et à qui. Dans le cas de Ring, l'EFF a initialement observé que tout le trafic intercepté lors du lancement était rejeté, et la fondation n'a pu observer aucune communication.
Ce n'est que grâce à la puissante infrastructure d'analyse dynamique Frida que l'EFF a pu injecter du code dans Ring au moment de l'exécution, ce qui a garanti que le certificat fourni par son instance mitmproxy serait accepté comme valide. Cela lui a permis d'inspecter tout le trafic HTTPS envoyé via l'application.
Conclusion
À ce stade du XXIe siècle, il semblerait de plus en plus prévisible que les appareils que vous utilisez ou que vous gérez vous surveillent et partagent vos données. Et l'EFF de regretter que :
« Ring prétend accorder la priorité à la sécurité et à la confidentialité de ses clients, et pourtant, nous constatons à maintes reprises que ces revendications sont non seulement insuffisantes, mais nuisent également aux clients et aux membres de la communauté qui interagissent avec le système de surveillance de Ring. Dans le passé, nous avons mis en lumière la mauvaise gestion des informations des utilisateurs qui a conduit à des violations de données, et la tentative de rejeter la faute sur de telles erreurs aux pieds des clients.
« Cela va au-delà de cela, en fournissant simplement des données sensibles à des tiers non responsables devant Ring ou liés par la confiance placée dans la relation client-fournisseur. Comme nous l'avons mentionné, cela comprend des informations sur votre appareil et votre opérateur, des identifiants uniques qui permettent à ces entreprises de vous suivre dans les applications, des données d'interaction en temps réel avec l'application et des informations sur votre réseau domestique. Dans le cas de MixPanel, il comprend même votre nom et votre adresse e-mail. Ces données sont données à des parties qui ne sont que brièvement mentionnées, enfouies sur une page interne que les utilisateurs ne verront probablement jamais ou ne sont pas répertoriées du tout ».
Mais il faut également noter ses accords avec les forces de l'ordre. La société a gardé la portée de ses partenariats avec la police secrète jusqu'en août, date à laquelle les rapports de plusieurs médias lui ont fait perdre la main : c'est alors que Ring a admis avoir eu 405 de tels arrangements. Un examen de la liste aujourd'hui révèle que le nombre a plus que doublé au cours des six derniers mois et s'élève désormais à 845 arrangements. Les termes de ces accords sont également quelque peu flous et généralement cachés au public.
Le Congrès a exigé des réponses de Ring concernant la vie privée des utilisateurs. Pendant ce temps, la société fait face à un procès de plusieurs utilisateurs suite à une vague de piratage d'appareils. Les plaignants, qui demandent le statut de recours collectif pour leur poursuite, allèguent que la société n'a pas fourni de mesures de sécurité suffisantes à ses utilisateurs et a décidé de blâmer les utilisateurs de leur propre malheur.
Sources : EFF, Ring
Et vous ?
Êtes-vous surpris des résultats des recherches de l'EFF sur l'application Ring ?