Alerte sécurité: Meitu – l’appli catapulte vos données personnelles en Chine
En coulisseSmartphone

Alerte sécurité: Meitu – l’appli catapulte vos données personnelles en Chine

Dominik Bärlocher
Dominik Bärlocher
Zurich, le 20.01.2017
Traduction: Anne Chapuis
L’application chinoise Meitu embellit vos photos d’après les critères de beautés chinois – avec faste, kitch et des tons pastel. Et elle envoie des données personnelles en Chine sans y être invitée. Donc: n’installez pas l’appli ou désinstallez-la.

Le journal gratuit 20 minutes annonçait hier: «Raz de marée des filtres de l’app de selfie Meitu». Cet article parle de la fureur provoquée par l’application Meitu. Il y aura certainement un grand nombre de personnes qui téléchargeront l’application dans les prochains jours.

L’utilisateur qui télécharge l’application sur son téléphone prend des risques: sur son compte Twitter, le Security Researcher FourOctets a porté l’attention sur les brèches de sécurité suivantes

«Pour votre gouverne, l’appli photo qui vous fait ressembler à un personnage d’anime envoie vos IMEI en Chine»

Comme Twitter fait maintenant partie des plates-formes d’échange dans le domaine InfoSec, la recherche a été lancée. Incrédule, Greg Linares poste le Tweet suivant: «Si j’ai bien compris, vous avez installé une application avec les permissions suivantes. Tenez-moi au courant de ce que cela donne.»

Toutes les autorisations de l’appli Meitu

En français:

Historique de l'appareil et des applications

  • Récupérer les applications en cours d'exécution

Données de localisation

  • position approximative (réseau)
  • position précise (basée sur GPS et réseau)

Téléphone

  • voir l'état et l'identité du téléphone

Photos/multimédia/fichiers

  • Lire le contenu de la mémoire de stockage USB
  • Modifier ou supprimer le contenu de la mémoire de stockage USB

Espace de stockage

  • Lire le contenu de la mémoire de stockage USB
  • Modifier ou supprimer le contenu de la mémoire de stockage USB

Caméra

  • prendre des photos et filmer des vidéos
  • Informations relatives à la connexion Wi-Fi
  • afficher les connexions Wi-Fi

Identifiant de l'appareil et informations relatives aux appels

  • voir l'état et l'identité du téléphone

Autre

  • recevoir des données depuis Internet
  • afficher les connexions réseau
  • modifier les paramètres d'affichage du système
  • bénéficier d'un accès complet au réseau
  • modifier vos paramètres audio
  • s'exécuter au démarrage
  • Réorganiser les applications en cours d'exécution
  • contrôler le vibreur
  • empêcher la mise en veille de l'appareil
  • Vérification de licence Google Play

Pour comparer: l’appli Facebook s’intéresse à vos données de la même façon, mais offre aussi bien plus de fonctions. Pour Meitu, l’accès à la mémoire et à l’appareil photo aurait été suffisant si les programmeurs avaient eu le droit d’être minimalistes.

Qu’est-ce que mon IMEI?

IMEI signifie Mobile Equipment Identity. Littéralement: identité internationale d'équipement mobile. Tous vos «smart» dans votre poche ont un IMEI, c’est-à-dire votre smartphone, votre smartwatch, votre tablette, votre phablet, etc. Le numéro IMEI est une suite de chiffres. Chaque appareil a un numéro unique qui reste, en général, secret et inutilisé. Avec l’IMEI, on peut savoir avec certitude quel téléphone est utilisé pour la transmission du signal.

L’IMEI est l’un des sets de métadonnées les plus importants dans le domaine mobile. Certes, il ne vous identifie pas directement, mais si vous avez un compte sur votre téléphone que vous avez protégé avec un mot de passe, PIN ou empreinte digitale et que votre compte se nomme prénom.nom@gmail.com ou presque, alors tout est clair.

Dans cette vidéo (en allemand), l’analyste de données David Kriesel nous explique tout ce que l’on peut faire avec les métadonnées (à partir de 12:08).

De plus, d’après AndroidPolice.com, les données concernant les modèles de smartphone, les résolutions des écrans, les versions Android et iOS, l’adresse MAC des l’appareils et d’autres données sont transmises au serveur chinois.

En échange de selfies, Meitu envoie ces données dans le monde entier. Entre autres en Chine, un pays qui ne se préoccupe pas toujours des droits de l’homme et de la loi.

Pourquoi est-ce que Meitu fait ça?

On spécule encore beaucoup sur les raisons, mais l’utilisateur Twitter Pheonix7284 pense avoir une solution. Il renvoie à un article sur le site InsidePrivacy.com, qui décrit les nouvelles conditions devant être remplies par les applications en Chine.

En bref: depuis le 1er août 2016, toutes les applications programmées en Chine doivent récolter des métadonnées.

  • Les applications doivent authentifier leurs utilisateurs en attachant un numéro de téléphone vérifié ou toutes autres données identifiées à un profil en ligne. Donc, votre profil Twitter anonyme est lié à votre compte nommé prénom.nom@gmail.com.
  • Les enregistrements de vos activités doivent être enregistrés durant 60 jours
  • L’application doit respecter des régulateurs et se procurer des licences spécifiques à cette dernière. Ceci n’est pas décrit plus précisément.
  • Les prestataires de l’appli doivent pouvoir s’assurer que leur application n’autorise aucune publication pouvant enfreindre la loi chinoise d’une quelconque manière.
  • Les prestataires de l’appli doivent pouvoir dépister ces effractions côté logiciel
  • Les prestataires de l’appli doivent mentionner la totalité des effractions sans exception
  • Les prestataires de l’appli doivent se soumettre à une ou plusieurs inspections des autorités locales

La Chine pratique encore la censure. Besoin d’exemples?

Si vous cherchez «Tiananmen Square» (littéralement : place de la porte de la Paix céleste) dans la version suisse de Google, les résultats suivants apparaissent:

Premier résultat de recherche: des protestations contre le gouvernement

Si vous cherchez 天安门广场 – la traduction chinoise du nom de lieu – sur Google Hong Kong (il n’existe pas de version chinoise directe), vous trouvez les résultats suivants:

Premier résultat de recherche: l’article Wikipédia de la place en elle-même

Mais, dernière son grand pare-feu, la Chine à son propre moteur de recherche; il s’appelle Baidu. Donc, si nous lançons Baidu et cherchons 天安门广场, les résultats suivants apparaissent:

Aucune trace de protestations

Les répercutions de la censure

Vous vous demandez certainement «Quelles protestations?». Peut-être que vous ne savez pas beaucoup de choses sur ces protestations, mais vous avez certainement déjà vu une photo. Les Chinois qui ne cherchent jamais en dehors de la Chine ne connaissent pas l’image iconique du Tank Man.

L’homme au sac de provisions n’est toujours pas connu

En dehors de la Chine, l’image se trouve facilement en utilisant directement la version Google internationale. Le problème est que cela pourrait déjà compter comme une infraction à la loi chinoise et vous marquerait comme un dissident politique. En tant que touriste, ce n’est pas vraiment un gros problème. Mais en tant que citoyen chinois qui doit vivre en Chine, vous avez de gros problèmes qui, dans le pire des cas, pourraient se transformer en une exécution.

Les mécanismes imposés aux prestataires d’application chinoises – surtout ceux avec des caractéristiques identificatoires – sont donc présents pour dépister et identifier les dissidents. Il ne s’agit exceptionnellement pas de publicité, mais de vies humaines.

Maintenant, ma question polémique: voulez-vous, en échange de quelques selfies pas comme les autres, divulguer votre identité aux Chinois pour qu’ils puissent analyser vos données et peut être vous marquer comme dissident et danger pour leur gouvernement?

Ces articles pourraient aussi vous intéresser

*WhatsApp Backdoor** - Kryptograph erklärt die Backdoor, die keine sein soll
HintergrundSmartphone

WhatsApp Backdoor - Kryptograph erklärt die Backdoor, die keine sein soll

*WhatsApp** a une brèche de sécurité et Facebook s’en moque
En coulisseSmartphone

WhatsApp a une brèche de sécurité et Facebook s’en moque

Sur les traces des *e-mails de phishing digitec**
En coulisse

Sur les traces des e-mails de phishing digitec

Le code des *Phisher digitec** est décodé
En coulisse

Le code des Phisher digitec est décodé

ReviewSmartphone

Blackphone 2 – Ein Android-Smartphone für die Sicherheit

Cet article plaît à 53 personne(s)


Dominik Bärlocher
Dominik Bärlocher
Senior Editor, Zurich
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.

Ces articles pourraient aussi vous intéresser