Qu’il soit sous iOS ou sous Android, ses applications seraient tout aussi intrusives et indiscrètes. C’est en tout cas ce qu’affirme Bitdefender en s’appuyant sur les résultats de son application Clueful – qui surveille les apps pour savoir ce qu’elles font avec les données personnelles.
Les conclusions de l’étude s’appuient sur l’analyse de presque 315 000 applications Android et 208 000 applications iOS, toutes gratuites, sur un an. À quelles données essaient-elles d’accéder ? Quels sont les privilèges requis ? Comment sont gérées les données auxquelles elles accèdent au moment où ces données transitent sur Internet ? Autant de paramètres pris en compte.
Premier résultat, 45,41 % des applications iOS intégreraient des services de localisation - même sans que cela soit nécessaire à leur bon fonctionnement - contre 34,55 % des applications Android.
Deuxième constat, 18,92 % des applications conçues pour iOS étaient techniquement capables d’accéder à la liste de contacts, 7,69 % sous Android.
Troisième comparaison, 14,58 % des applications Android pourraient divulguer l’identifiant d’un appareil et 5,73 % transmettre votre adresse e-mail. « De nouveau, les applications iOS semblent recueillir plus de données personnelles que celles conçues pour Android », constate BitDefender sans avancer de chiffre. Ceci dit, suite aux incidents de sécurité de 2012 concernant la mise en ligne d’un million d’UDID de l’agence publicitaire Blue Toad, Apple a décidé de déprécier l’API UDID.
On regrettera que sur d’autres critères (divulgation du numéro de téléphone, zones d’ombre dans le comportement des applications), Bitdefender ne donne que des chiffres sur Android rendant impossible toute comparaison réelle.
Certes, 8,82 % des applications Android pouvaient divulguer le numéro de téléphone d’un appareil à des publicitaires et 10 % enverraient plus d’informations que ce qu’elles devraient. Mais est-ce mieux ou moins bien sous iOS ? Mystère.
L’affirmation de l’éditeur selon laquelle « un des systèmes d’exploitation est plus sûr que l’autre » est donc à prendre avec des pincettes.
Clueful
Reste que BitDefender lève plusieurs lièvres intéressants. Par exemple, une mauvaise pratique trop généralisée comme la transmission des identifiants d’appareils non chiffrés ou l’envoi des mots de passe lors du processus d’authentification. Ce qui est « extrêmement dangereux pour un appareil mobile qui est souvent connecté à des points d’accès Wi-Fi publics qui peuvent être surveillés ».
Idem sur le modèle freeware qui a donnée des idées à d’autres applications.
« Il existe un écosystème d’applications gratuites largement monétisé par les développeurs. L’application ne devient gratuite qu’une fois que l’utilisateur « paye » avec ses données personnelles ». Normal (plus ou moins), connu (totalement) et accepté (souvent).
Le problème aujourd’hui tient au fait que payer l’application ne bloquerait pas pour autant le flux d’informations confidentielles « et ne renvoie pas non plus à l’utilisateur ses données privées déjà stockées dans des fichiers ».
Bitdefender en conclut que les adwares mobiles – par la quantité d’informations qu’ils collectent et leur exploitation définitive - peuvent être tout bonnement considérés comme des logiciels espions à part entière.
Parmi les applications citées par Bitdefender on retrouve des noms aussi divers que Paradise Island: Exotic, Football Games - Soccer Juggle, Blowing sexy girl’s skirt, Logo Quiz Car Choices, 3D Badminton II, Cheezburger, PokerStars TV ou Latest Nail Fashon Trends.
Une liste malheureusement pas exhaustive.
Ironiquement, Clueful a été bouté hors de l’AppStore pour des raisons encore non explicitées publiquement. « Nous travaillons activement avec Apple pour réintroduire l’application dans la galerie », assure cependant Dan Berte, Responsable Marketing du Produit. Pour l'instant sans résultat.
Source : conclusions de Bitdefender (pdf)