Le troublant recueil de données par Yandex, le “Google russe", dans 52.000 applications mobiles
En pleine guerre russe en Ukraine, un chercheur en sécurité a découvert qu’environ 50.000 applications mobiles reposent sur un logiciel gratuit qui collecte les données des utilisateurs et les envoie sur des serveurs en Russie.
On la surnomme "le Google russe", bien qu’elle soit cotée à Wall Street. Elle, c’est Yandex. C’est à son sujet que Zach Edwards a donné l’alerte sur Twitter. Ce chercheur basé en Californie qui travaille pour une ONG, l’alliance Me2B, a identifié 52.000 applications sur iPhone et Android, qui reposent, en partie, sur du code informatique mis à disposition gratuitement des éditeurs, par Yandex. Ce code s’appelle un SDK. Et il a un nom : AppMetrica.
Le rôle de cette plate-forme marketing est de collecter des informations “profondément invasives“, dit Zach Edwards : des données suffisantes pour vous identifier. Et quand on parle de 52.000 apps, on parle de centaines de millions d’utilisateurs, selon AppFigures. Le problème, c’est que ces données sont envoyées en Finlande, mais aussi en Russie, où elles sont stockées sur des serveurs privés. Et en Russie, la loi permet au gouvernement d’accéder à ces fichiers, ce qui permettrait au Kremlin de suivre une partie de ces utilisateurs.
Adidas, Cut the rope et Helix Jump
Quelles sont les apps concernées ? D’abord, il y a les jeux, c’est plus de 40% du total, des jeux de tous les jours, pour passer le temps dans le métro : solitaires, puzzles, sudokus et des jeux plus Premium comme Cut The rope ou Helix Jump.
Deuxième catégorie : des utilitaires pour scanner un document, par exemple, ou faire un photomontage. Dans la liste, on trouve aussi l’appli Adidas. Et puis, il y a les VPN, ces apps qui permettent de naviguer sur Internet comme si on se trouvait dans un autre pays. Les VPN permettent, a priori, de surfer incognito, mais 21 VPN ont intégré AppMetrica, ces dernières semaines. C’est donc un vrai souci, notamment pour les Ukrainiens qui les utilisent massivement en ce moment.
Yandex assure qu’AppMetrica ne collecte des données qu’avec l’accord de l’utilisateur. Accord que l’iPhone impose aux apps de demander depuis presque un an. Mais comment en être sûr ? Pour se protéger, l’idéal serait d’éviter ces 52.000 apps qui représentent entre 1,5 et 3% du nombre total d’apps sur les les magasins d’Apple et Google. Un certain nombre d’éditeurs ont commencé à faire eux-mêmes le ménage, depuis l’invasion de l’Ukraine, en retirant AppMetrica de leurs applications. C’est le cas de Gismart, avec ses 28 jeux téléchargés 1 milliard de fois. Autre exemple : Opera, un navigateur très utilisé, avec un VPN intégré, a désactivé AppMetrica.
Au contraire, plus de 2.000 apps ont adopté AppMetrica depuis l’invasion de l’Ukraine, dont certaines ont l’air d’avoir été conçues spécifiquement pour pister les utilisateurs ukrainiens. C’est le cas de "Call Ukraine", une messagerie gratuite lancée, le 10 mars, sur Android. Une fois installée, l’app a accès à l’identité de l’utilisateur et à tous ses contacts. Donc, méfiance !