Yandex, le moteur de recherche et société de publicité russe, pourrait collecter des données auprès de millions d’utilisateurs iOS et les envoyer en Russie.
Yandex et la Russie
Selon le Financial Times, le chercheur en sécurité Zach Edwards a découvert que le code d’analyse de Yandex est intégré dans 52 000 applications pour iOS et Android, qui, ensemble, atteignent des millions d’utilisateurs dans le monde.
Yandex a reconnu que les données collectées via son API sont envoyées à des serveurs russes. La société a également expliqué qu’elle suit un processus très rigoureux pour traiter les demandes de données du gouvernement, telles que celles qui ne sont pas conformes aux « exigences procédurales et légales pertinentes ».
Cependant, les experts en sécurité avertissent qu’une fois les données archivées en Russie, Yandex ne peut pas faire grand-chose pour empêcher le gouvernement russe de les obtenir. De plus, certaines des données collectées par l’API Yandex incluent des métadonnées qui peuvent être utilisées pour identifier les utilisateurs.
« Pour les personnes ayant un profil à haut risque ou qui gèrent des emplois importants, l’utilisation d’applications qui envoient ces données à Moscou est dangereuse et peut potentiellement conduire à des attaques sur les réseaux domestiques ou à d’autres formes de surveillance numérique », a déclaré Edwards.
Les applications qui utilisent cette API incluent des jeux, des services de messagerie, des outils de partage de position et des « centaines » d’applications VPN. Sept des VPN identifiés par les chercheurs ciblent explicitement un public ukrainien. Le nombre total de téléchargements d’applications avec l’API atteint des centaines de millions.
Cependant, Yandex a défendu son outil en le comparant à des kits de développement similaires fournis par Google et d’autres sociétés. Il a en outre noté qu’ « elle n’a jamais fourni d’informations sur les utilisateurs d’applications sur lesquelles AppMetrica est installé, et qu’on ne nous a jamais demandé de le faire ».
Apple, pour sa part, affirme que l’API AppMetrica peut être arrêtée via App Tracking Transparency, simplement en ne permettant pas aux applications de nous suivre.
Autres menaces sur iPhone et Android
Les nouvelles sur les risques pour les utilisateurs d’iOS ne s’arrêtent pas là. Plusieurs pirates utilisent en fait une technique efficace et sournoise avec des e-mails volés par les forces de l’ordre pour voler les données des utilisateurs des grandes technologies, des FAI, des messageries et des sociétés de médias sociaux.
Plus précisément, les attaquants se font passer pour des responsables de l’application des lois afin d’obtenir des données d’assignation privilégiées. Généralement, ils utilisent des comptes de messagerie compromis, appartenant aux forces de l’ordre.
La tactique repose également sur un type d’enquête gouvernementale appelée demande de données d’urgence (EDR). Normalement, les entreprises technologiques ne transmettent les données des utilisateurs qu’avec un mandat ou une citation à comparaître. Cependant, les autorités peuvent déposer un EDR dans les cas impliquant une menace de blessure imminente ou de mort, en contournant le besoin de documents approuvés par le tribunal.
Selon les chercheurs, les pirates ont découvert qu’il n’existe aucun moyen simple pour les entreprises technologiques et les sociétés de médias sociaux de vérifier si un EDR est légitime. Cependant, cette pratique est actuellement limitée aux États-Unis uniquement.
