IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le navigateur UC Browser d'Alibaba, le quatrième plus grand navigateur mobile, exfiltre les données des utilisateurs
Même en mode Incognito

Le , par Stéphane le calme

149PARTAGES

6  0 
UCWeb, une société chinoise d'Internet mobile appartenant au groupe Alibaba, exfiltre l'historique de navigation et de recherche des utilisateurs de ses produits distribués sur les appareils mobiles du monde entier, même lorsque le navigateur est utilisé en mode navigation privée. Ce comportement est cohérent sur les appareils Android et iOS. UCWeb annonce que le mode incognito du produit est un moyen privé et sécurisé de naviguer sur Internet. Cependant, ils exfiltrent l'activité des utilisateurs vers les serveurs d'UCWeb.

Si vous avez téléchargé l'application UC Browser appartenant à Alibaba ce mois-ci, que ce soit sur le Play Store Android de Google ou sur l'App Store iOS d'Apple, vous avez sans doute lu la promesse qu'avec son mode « incognito », aucune navigation Web ou historique de recherche ne serait enregistré. De telles garanties, ainsi que des promesses de temps de téléchargement rapides, ont rendu l'application, créée par la filiale d'Alibaba UCWeb, incroyablement populaire dans le monde entier, avec 500 millions de téléchargements sur Android uniquement. Selon les statistiques de StatCounter, il s'agit du quatrième plus grand navigateur sur mobile au monde en termes de nombre d'utilisateurs, en grande partie grâce à sa grande base d'utilisateurs en Asie. Avant une interdiction par le gouvernement indien pour des problèmes de sécurité liés aux applications chinoises, il aurait été l'un des navigateurs les plus populaires en Inde.


Mais les engagements de confidentialité pris par UCWeb sont trompeurs, selon le chercheur en sécurité Gabi Cirlig. Ses découvertes, vérifiées par deux autres chercheurs indépendants, révèlent que sur les versions Android et iOS d'UC Browser, chaque site Web qu'un utilisateur visite, qu'il soit en mode navigation privée ou non, est envoyé vers des serveurs appartenant à UCWeb. Cirlig a déclaré que les adresses IP – qui pourraient être utilisées pour obtenir l'emplacement approximatif d'un utilisateur jusqu'à la ville ou le quartier de l'utilisateur – étaient également envoyées aux serveurs contrôlés par Alibaba. Ces serveurs étaient enregistrés en Chine et portaient l'extension de nom de domaine chinois .cn, mais étaient hébergés aux États-Unis. Un numéro d'identification est également attribué à chaque utilisateur, ce qui signifie que leur activité sur différents sites Web pourrait effectivement être surveillée par la société chinoise.

« On peut voir ci-dessus une visite sur un site Web qui vient d'être ouvert dans le navigateur selon l'exemple iOS. En plus de l'URL visitée, le navigateur envoie l'IP de l'utilisateur et un identifiant propriétaire qui semble avoir été le même pendant toute la durée de l'analyse. Cela pourrait facilement constituer un fingerprinting des utilisateurs et les rattacher à leurs véritables personnalités », note Cirlig dans un billet de blog. Ce qu'Alibaba et sa filiale font de ces données ne relève que de l'hypothèse actuellement.

Cirlig a pu découvrir le problème en procédant à une ingénierie inverse de certaines données chiffrées qu'il a repérées en train d'être renvoyées à Pékin. Une fois la clé craquée, il a pu voir que chaque fois qu'il visitait un site Web, il était chiffré et retransmis à la société Alibaba. Sur l'iOS d'Apple, il n'a même pas eu besoin de faire de la rétro-ingénierie sur le chiffrement, car il n'y en avait effectivement pas sur l'appareil (bien que les données étaient chiffrées lors du transit).

« Ce type de suivi est fait exprès sans aucun égard pour la vie privée des utilisateurs », a déclaré Cirlig. Par rapport au propre navigateur Chrome de Google, par exemple, il ne transfère pas les habitudes de navigation de l'utilisateur en mode navigation privée. Cirlig a déclaré qu'il avait examiné d'autres navigateurs majeurs et trouvé qu'aucun ne faisait la même chose qu'UC Browser. Il a ajouté que bien que les cookies puissent suivre les utilisateurs de la même manière, cela est très différent du fait que «*le navigateur récupère des URL, les met dans une mallette et s'enfuit avec elles*».

Dans une vidéo, Cirlig a prouvé ce qui se passait lorsqu'il utilisait UC Browser, y compris comment un numéro d'identification unique lui avait été attaché.


Il y avait un autre problème avec la version iOS de l'application appartenant à Alibaba*: comme elle n'avait pas été mise à jour après qu'Apple ait introduit une fonctionnalité sur l'App Store pour détailler les pratiques de confidentialité de chaque application, la récolte des habitudes de navigation Web des utilisateurs n'a pas été divulguée aux utilisateurs. Depuis la semaine dernière, cependant, une mise à jour non spécifiée et non annoncée de l'App Store signifiait que le suivi via des identifiants uniques et des historiques de recherche était inclus dans les informations de confidentialité de l'application. Cependant, il n'y a eu aucune divulgation de la surveillance des habitudes de navigation sur le Web.

Mais mardi, la version anglaise d'UC Browser n'était pas accessible sur l'App Store d'Apple, bien qu'une version chinoise soit disponible (Cirlig a déclaré qu'il ne semblait pas que cette version transmettait les mêmes données). On ne sait pas pourquoi la version anglaise a été supprimée, bien qu'elle est toujours disponible sur Google Play.

Nicolas Agnese, un chercheur en cybersécurité basé en Argentine qui a validé ce qui se passait avec l'application Web UC sur les iPhone, a soulevé un autre problème*: alors qu'iOS était «*très sécurisé*» à certains égards, il craignait que des pratiques portant atteinte à la vie privée puissent être autorisées sur les applications une fois ils passent par le processus d'examen de l'App Store.

Selon un rapport publié dans The Information en avril, Alibaba, le chinois avec une capitalisation boursière de 600 milliards de dollars, s'inquiétait de la fonctionnalité de transparence du suivi des applications d'Apple, qui permet aux utilisateurs d'empêcher les applications de les suivre. L'activité d'Alibaba est alimentée par la publicité qui elle-même est alimentée par d'énormes trésors de données d'utilisateurs. Le fait que l'une de ses applications mobiles les plus populaires soit désormais inaccessible sur l'App Store d'Apple est l'un des premiers signes tangibles que la ligne dure du fabricant d'iPhone en matière de confidentialité pose des problèmes importants pour des entités comme Alibaba.

Cette situation n'est en réalité pas la première de ce genre. Les problèmes dans UC Browser ne sont pas différents de ceux trouvés par Cirlig l'année dernière lorsqu'il a examiné la sécurité du navigateur de Xiaomi, lancé par défaut sur les téléphones de la grande enseigne chinoise. Il faisait à peu près la même chose, enregistrant chaque site Web visité par un utilisateur, même lorsque l'utilisateur était en mode navigation privée. Même si Xiaomi a nié les conclusions des chercheurs, l'éditeur chinois a ensuite publié une mise à jour de l'application permettant aux utilisateurs de se retirer de ce qu'il considérait comme une « collecte de données agrégées anonymisées ». Cette nouvelle est arrivée juste après que Cirlig a découvert qu'un autre développeur d'applications chinois, Cheetah Mobile, coté à la Bourse de New York, disposait d'une application de sécurité avec un navigateur «*privé*» qui collectait des informations sur l'utilisation d'Internet et les noms des points d'accès Wi-Fi, entre autres informations. Cheetah a déclaré qu'il avait besoin des données pour s'assurer que les utilisateurs ne visitaient pas des sites Web dangereux et que l'application fonctionnait correctement.

Sources : billet Cirlig, StatCounter

Et vous ?

Quelle lecture en faites-vous ?

Voir aussi :

Google indique que son navigateur Chrome est désormais 23 % plus rapide, grâce à des améliorations apportées au moteur JavaScript dans Chrome 91
Internet Explorer 11 sera retiré le 15 juin 2022, à la place, Microsoft Edge sera le principal navigateur Web proposé aux utilisateurs
Alibaba frappée par une amende record de 2,33 Mds € pour avoir enfreint les réglementations antitrust chinoises et abusé de sa position dominante sur le marché
L'activité de cloud computing du Chinois Alibaba devient enfin rentable et affiche un chiffre d'affaires de 2,47 Mds $ au 4T20, soit une augmentation de 50 % d'une année sur l'autre

Une erreur dans cette actualité ? Signalez-nous-la !