Certaines réclames insérées dans les applications seraient porteuses d'éléments frauduleux permettant d'accéder à des informations personnelles à l'insu des utilisateurs.

La publicité dans l'application, talon d'achille au niveau sécuritaire ?

La publicité dans les applications représenterait-elle un risque au niveau sécuritaire ? Selon une équipe de la North Carolina State University, oui. En fait, beaucoup de développeurs offrent la possibilité de télécharger des applications gratuitement. Mais pour générer du revenu, ils doivent intégrer de la publicité et font appel notamment à des bibliothèques publicitaires. Dans leur étude récente* portant sur 100 000 applications de la plate-forme Google Play (ex-Android Market) et 100 bibliothèques publicitaires, les chercheurs ont remarqué que plus de la moitié d'entre elles contenait ce type d'espace publicitaire. Et selon eux, ce type de réclame dans les applications pourrait potentiellement poser des problèmes de sécurité. Pire, il pourrait toucher à la confidentialité en donnant accès aux annonceurs à des informations personnelles et ce à l'insu des utilisateurs.

Le code des applications, un danger

Pendant leur travail d'enquête, ils auraient constaté qu'une application sur trois cents trente sept utilisant les bibliothèques publicitaires aurait présenté des failles de sécurité. Mais le mobinaute serait également traqué à son insu à cause de ce mécanisme. Une application sur deux permettrait à ces bibliothèques de géolocaliser son utilisateur via GPS et une sur vingt-trois permettrait aux publicitaires d'accéder à ces données. La vulnérabilité viendrait du code de l'application exécuté lors du téléchargement. "Lors du chargement d'une application sur un mobile, le code exécuté est problématique, car il peut contenir n'importe quoi", dit XuXian Jiang, co-auteur de l'étude. Certaines applications peuvent ainsi contenir des logiciels malveillants qui prendraient le contrôle d'un mobile à distance. Le système Android a récemment découvert un virus appelé RootSmart qui a rendu vulnérable certains smartphones.

Séparer les permissions

D'autre part, il viendrait du manque de transparence au moment d'amener l'utilisateur à autoriser l'application à accéder à ses données personnelles. En effet, les bibliothèques publicitaires recevraient le même type de permissions, étant intégrées au code l'application. Pour limiter les risques, il faudrait intégrer des systèmes de dissociation, par exemple, isoler les permissions des applications et celles des bibliothèques publicitaires. Google, Apple et les autres fournisseurs mobiles devraient prendre les devants pour mettre en place ce genre de système, jugent les chercheurs. A noter que L'Atelier évoquait AdSplit, un système qui ajoute une composante à l'architecture d'une application pour la séparer. En effet, selon les chercheurs de la Rice University, cela permettrait d'améliorer la protection des données personnelles.

* Menée durant les mois de Mars à Mai 2011