Alors que les autorités japonaises pourraient décider d’autoriser les possesseurs de smartphones à télécharger des applications hors des plateformes sécurisées, ouvrant la voie à de possibles vulnérabilités, le régulateur français vient de proposer un plan d’action visant, lui aussi, à mettre de l’ordre dans le Far West des applis.
Faut-il, pour se défaire de la mainmise d’Apple et Google sur les smartphones, déréguler le marché des applications mobiles, au risque de compromettre la sécurité de ces mêmes applications et de leurs usagers ? Le débat mobilise experts en cybersécurité et responsables politiques, que ce soit aux Etats-Unis, en Europe ou encore en Asie. Ainsi, au Japon, le gouvernement a publié en avril dernier un rapport d’étude critiquant les restrictions imposées aux développeurs d’applications par les plateformes comme Google Play ou App Store : les frais, parfois élevés, que les géants de la Silicon Valley prélèvent sur les applications disponibles dans leurs catalogues constitueraient autant de barrières à l’entrée, contrevenant au principe de libre concurrence. Le rapport préconise donc d’autoriser le « téléchargement latéral », c’est-à-dire la possibilité pour les utilisateurs de télécharger des applications ailleurs que depuis les boutiques officielles de leur système d’exploitation, iOS ou Android.
Problème : un tel assouplissement des règles ferait peser de lourds risques de sécurité, mettent en garde certains experts nippons, selon lesquels les applications ainsi téléchargées ouvriraient de potentielles vulnérabilités sur les téléphones concernés. Vol et revente de données, surveillance des utilisateurs et autres ransomware pourraient représenter une menace majeure pour les internautes japonnais mais aussi pour la sécurité nationale de l’archipel, et ce dans un contexte de tensions croissantes avec Pékin. La Chine, où sont conçues certaines de ces applications malveillantes et qui a démontré à maintes reprises sa capacité à surveiller électroniquement sa propre population – notamment la minorité Ouïghour, dont les portables sont truffés de logiciels espions –, est ainsi particulièrement dans le viseur de ceux s’inquiètent d’une dérégulation à l’excès du marché des applications mobiles.
Les dérives de l’explosion des applis dans nos vies
Et les craintes exprimées par les acteurs japonais de la cybersécurité n’ont rien de virtuel. En octobre, Meta a révélé qu’un million d’utilisateurs de Facebook avaient téléchargé des applications conçues pour dérober leur mot de passe. D’après le groupe de Mark Zuckerberg, plus de 400 applications malveillantes auraient été découvertes sur Google Play et App Store, prenant le plus souvent l’apparence d’innocents services de retouche photo, de lampes de poche, de jeux vidéo ou de réseaux virtuels privés. Demandant, une fois téléchargées, aux utilisateurs de renseigner leurs identifiants Facebook pour accéder à certains services ou fonctionnalités, ces applications permettaient ensuite à des pirates d’accéder à leurs informations confidentielles. Google et Apple ont, depuis, retiré les applications signalées de leurs plateformes respectives.
En dépit des efforts des multinationales technologiques pour sécuriser leurs services et plateformes, les applications mobiles restent, en quelque sorte, le talon d’Achille de nos chers smartphones, dont près de la moitié (40%) seraient vulnérables aux cyberattaques. Absence de protection binaire ; médiocrité des procédures d’authentification et d’autorisation ; stockage des données insuffisamment sécurisé ; cross-side scripting, ou présence d’un bout de code piraté ; fragilité des paramètres du serveur situé entre l’utilisateur et l’application ; non-sécurisation de la couche de transport… : innombrables, complexes et évolutives, les menaces entourant les applications mobiles font de ce marché un genre de Far West numérique moderne.
La Cnil propose un plan d’action
Le digital se jouant des frontières, la France n’est, évidemment, pas épargnée. Un constat qui a poussé la Cnil (Commission nationale de l’informatique et des libertés) à dévoiler un inédit « plan d’action afin d’accompagner la mise en conformité (des applications mobiles) et de protéger la vie privée des utilisateurs ». Le régulateur, partant du constat selon lequel les Français ont passé 170 millions d’heures sur les appli mobiles au quatrième trimestre 2021 – soit deux fois plus qu’au premier trimestre 2018 –, alerte sur les risques et menaces que font planer ces services, dont le nombre suit une courbe exponentielle. La Cnil tient notamment à porter l’attention sur la collecte, le stockage et le partage des données personnelles, autant de démarches dont les justifications fournies par les développeurs sont parfois infondées. Le rôle des capteurs présents dans les smartphones est aussi interrogé par l’organisme, en ce que ces dispositifs peuvent, eux aussi, participer à receuillir des données sur leurs utilisateurs à leur insu : caméra, micro, GPS/géolocalisation, accéléromètre, etc.
Après avoir organisé une série de rencontres avec les acteurs de l’écosystème (développeurs d’applications, fournisseurs de systèmes d’exploitation, de SDK, société civile, etc.), la Cnil a donc présenté, fin novembre, un plan articulé autour de trois axes principaux. La première étape consistera à poursuivre la veille et le dialogue avec les acteurs du secteur, afin de toujours mieux appréhender les problématiques en jeu. La seconde étape se traduira par la publication de recommandations, sous la forme de fiches pratiques et de guides à destination des utilisateurs, afin que ceux-ci prennent pleinement conscience des risques qu’ils courent en confiant leurs données personnelles aux développeurs des applications qu’ils installent sur leurs smartphones. Enfin, une troisième étape sera déployée par le biais de contrôles organisés par la Cnil ; si des manquements sont constatés, l’organisme se réservera le droit de décider d’éventuelles sanctions à l’encontre des acteurs négligents ou malveillants.
Des efforts censés « procéder à une régulation équilibrée qui prend en compte les réalités opérationnelles, économiques et techniques d’un secteur, tout en assurant une protection effective des droits et libertés des utilisateurs ». Suffisant pour protéger la sécurité de nos smartphones ?