Google a supprimé de son magasin Android une douzaine d’applications après avoir établi qu’elles contenaient un logiciel espion. Révélé mercredi 6 avril dans une enquête du Wall Street Journal, les applications piratées collectaient les données personnelles de ses utilisateurs. Ces informations étaient ensuite revendues pour le compte d’un sous-traitant des services de renseignements américains.
Une société panaméenne au cœur de la controverse
La société de sécurité informatique AppCensus, à l’origine de la découverte du programme malveillant, a partagé l’information à Alphabet, la maison-mère de Google, au Wall Street Journal et à des organismes fédéraux de réglementation de la vie privée.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Le code a été rédigé par une entreprise panaméenne du nom de Measurement Systems S. de R.L. La société se définit comme spécialiste dans la collecte de statistiques. Elle démarche les créateurs d’applications en promettant de 100 à 10 000 dollars par mois – voire plus – en fonction du nombre d’utilisateurs réguliers sur leurs plateformes.
Measurement System payait les développeurs du monde entier pour implémenter leur code dans leur application. « Il est courant aujourd’hui que les développeurs ajoutent des kits de développements logiciels, qui ne sont pas vérifiés ou compris correctement, au sein de leur application », indique Serge Egelman, co-fondateur d’AppCensus, au Wall Street Journal.
Parmi les applications touchées, des services de prières adressées aux musulmans
Les applications concernées par le malware récupéraient la localisation précise, les identifiants personnels tels que les numéros de téléphone et les adresses mails des utilisateurs. Dans certains cas, elles pouvaient récolter les éléments copiés dans le presse-papiers du téléphone, le contenu de certaines messageries et accéder aux appareils connectés au même réseau Wi-Fi que celui piraté.
Parmi les services touchés, des applications météo, des lecteurs de QR codes ou encore des applications de prières destinées aux musulmans telles que Al Moazin et Qibla Compass. Ces dernières sont utilisées par plus de 10 millions de personnes dans le monde. « Les applications abritant le logiciel de Measurement System ont été retirées du Play Store à partir du 25 mars », rassure Scott Westover, porte-parole de Google.
Une collecte massive de données pour les services de renseignements américains
D’après l’enquête du Wall Street Journal, Measurement System est une filiale de Vostrom, une société sous-traitante de plusieurs services de sécurité américains. À la suite d’une demande d’entretien, une société américaine qui servait possiblement d’intermédiaire entre les deux entreprises a été rapidement dissoute.
Le groupe basé au Panama cherchait à récolter les données des utilisateurs habitant en Europe centrale et de l’Est, au Moyen-Orient ainsi qu’en Asie. Une pratique peu courante, habituellement, ce sont les informations des personnes résidant en Amérique du Nord et en Europe occidentale qui intéressent les revendeurs de données. Ces dernières peuvent être revendues à un prix bien plus élevé.
Certaines applications ont d’ores et déjà modifié leur code afin de retirer le kit de développement logiciel de Measurement System et sont de retour sur le magasin Android.