Des applications, notamment s’adressant aux musulmans, ont été utilisées pour dérober toutes sortes de données. Une enquête fait remonter l’affaire jusqu’aux États-Unis.

Les applications mobiles ne sont pas toutes bienveillantes envers celles et ceux qui les installent sur leur smartphone. Une enquête dans les colonnes du Wall Street Journal le 6 avril montre que des logiciels pour Android collectaient abusivement des données personnelles, sans autorisation. Et dans le lot, il y avait des applications de prière pour les musulmans très utilisées (Al-Moazin Lite (Prayer Times) Qibla ou Compass – Ramadan 2022, pour n’en citer que deux, principalement anglophones).

Toutes les applications litigieuses ont depuis été retirées du Google Play. Les deux chercheurs en informatique à l’origine de ces découvertes, Serge Egelman et Joel Reardon, racontent dans un article séparé publié le 6 avril qu’ils ont alerté Google en octobre 2021 pour lui faire part de leurs constats. Après enquête, Google a fini par les éjecter fin mars 2022.

Des applications destinées aux musulmans

Les données collectées étaient vastes : il est question des numéros de téléphone, des mails, des coordonnées GPS, de diverses informations techniques sur le mobile (numéro unique IMEI, adresse MAC, SSID du Wi-Fi), mais aussi le contenu du presse-papier, qui peut contenir potentiellement des informations sensibles — comme des mots de passe.

Ces deux chercheurs connaissent bien le sujet, puisque leur projet, AppCensus, consiste à effectuer des audits pour dénicher des vulnérabilités dans les applications Android. C’est de cette manière qu’ils ont pu observer cette récolte de données dans divers programmes. De son côté, le WSJ a relevé que les données venant d’Europe centrale et orientale, d’Asie et du Moyen-Orient étaient les plus recherchées.

Logo Play Store
Le Google Play Store devrait filtrer plus correctement les stalkerwares. // Source : Louise Audry pour Numerama.

Dans leur compte-rendu, les deux chercheurs expliquent que les applications fautives rencontraient chacune un vif intérêt. Ensemble, elles cumulaient quelques dizaines de millions d’installations — certaines dépassaient à elles seules le seuil des dix millions, notamment une application de contrôle de la souris, une application pour la prière et un détecteur de radar automatique.

Certains de ces programmes peuvent encore être trouvés sur Google Play, mais ils ont tous pour point commun d’avoir reçu une mise à jour depuis la fin mars, signe d’une mise à jour destinée à nettoyer le code de toute instruction suspecte. Plusieurs de ces applications s’adressent aux musulmans, avec du texte religieux ou bien des informations sur le ramadan.

Une affaire qui remonte jusqu’aux États-Unis

Si la collecte frauduleuse de données personnelles est un problème classique dans le monde des applications mobiles, avec du code litigieux inséré et caché dans un kit de développement, les circonstances dans lesquelles elle a été mise en place sont plus atypiques. En effet, le WSJ montre que ce code est lié à des sous-traitants américains chargés de la sécurité nationale.

L’enquête du journal américain pointe un système de paiement d’une entreprise panaméenne, qui a écrit le code malveillant, adressé aux développeurs de ces applications pour qu’ils l’insèrent dedans. Les montants allaient de 100 à 10 000 dollars selon les cas, voire plus, en fonction de la popularité de l’application.

Or cette société panaméenne est liée à une société du secteur de la défense sise en Virginie, elle-même en contact avec certaines agences de renseignement des États-Unis. Les services fédéraux américains étaient-ils les destinataires finaux de cette collecte ? C’est une piste plausible. Une enquête est en cours de la part de la FTC, une autorité de régulation américaine.