La plus grande société Internet de Russie a intégré du code dans des applications trouvées sur des appareils mobiles qui permet d’envoyer des informations sur des millions d’utilisateurs à des serveurs situés dans son pays d’origine.
La révélation concerne un logiciel créé par Yandex qui permet aux développeurs de créer des applications pour les appareils exécutant iOS d’Apple et Android de Google, des systèmes qui exécutent la grande majorité des smartphones du monde.
Yandex collecte les données des utilisateurs récoltées sur les mobiles, avant d’envoyer les informations aux serveurs en Russie. Les chercheurs ont fait part de leurs inquiétudes quant au fait que les mêmes « métadonnées » pourraient ensuite être consultées par le Kremlin et utilisées pour suivre les personnes via leurs téléphones portables.
Le chercheur Zach Edwards a fait la découverte du code de Yandex dans le cadre d’une campagne d’audit d’applications pour Me2B Alliance, une organisation à but non lucratif. Quatre experts indépendants ont effectué des tests pour le Financial Times afin de vérifier son travail.
Yandex a reconnu que son logiciel collecte des informations sur « l’appareil, le réseau et l’adresse IP » qui sont stockées « à la fois en Finlande et en Russie », mais il a qualifié ces données de « non personnalisées et très limitées ». Il a ajouté : « Bien que théoriquement possible, il est en pratique extrêmement difficile d’identifier les utilisateurs uniquement sur la base des informations collectées. Yandex ne peut certainement pas faire cela.
Les révélations surviennent à un moment critique pour Yandex, souvent appelé « Google de la Russie », qui a longtemps tenté de tracer une voie indépendante sans tomber sous le coup du désir du président russe Vladimir Poutine de mieux contrôler Internet.
La société a déclaré avoir suivi un processus interne « très strict » lorsqu’elle traitait avec les gouvernements : « Toute demande qui ne respecte pas toutes les exigences procédurales et légales pertinentes est rejetée ».
Mais Cher Scarlett, anciennement ingénieur logiciel principal en sécurité mondiale chez Apple, a déclaré qu’une fois les informations des utilisateurs collectées sur les serveurs russes, Yandex pourrait être obligé de les soumettre au gouvernement en vertu des lois locales. D’autres experts ont déclaré que les métadonnées du type collectées par Yandex pourraient être utilisées pour identifier les utilisateurs.
Ron Wyden, président de la commission des finances du Sénat américain et l’un des architectes de la réglementation américaine de l’internet, a vivement critiqué Google et Apple pour ne pas en faire assez pour sécuriser les smartphones du logiciel Yandex, qui a trouvé son chemin vers 52 000 applications atteignant des centaines de millions des consommateurs.
« Ces applications extraient des données privées et sensibles des applications de votre téléphone, menaçant la sécurité nationale des États-Unis et la vie privée des Américains et d’autres personnes dans le monde », a-t-il déclaré.
Yandex est considéré comme un géant mondial de la technologie et est coté à la Bourse de New York et détenu majoritairement par des fonds américains. Elle est constituée à Amsterdam et le fondateur Arkady Volozh vit en Israël. En 2019, la société a conclu un accord avec le gouvernement russe, codifiant une structure qui garantit que Moscou peut intervenir sur certaines questions telles que les acquisitions étrangères sans contrôle des opérations quotidiennes.
L’invasion de l’Ukraine a brisé ses ambitions internationales, fait chuter le cours de ses actions et certains partenaires occidentaux ont coupé les ponts. Le directeur exécutif de la société, Tigran Khudaverdyan, a démissionné la semaine dernière après avoir été visé par des sanctions européennes visant à frapper les actifs d’hommes d’affaires considérés comme proches du Kremlin.
Yandex propose un logiciel sous la forme d’un kit de développement logiciel, ou SDK, appelé « AppMetrica ». Les SDK sont des blocs de construction utilisés par les développeurs pour créer des applications. Le SDK Google Maps, par exemple, permet aux applications d’intégrer des fonctions de cartographie plutôt que de créer cette fonctionnalité à partir de zéro. De nombreux SDK sont proposés « gratuitement » en échange d’un accès aux données des utilisateurs qui facilitent la publicité ciblée.
Parmi les applications sur lesquelles AppMetrica est installé figurent des jeux, des applications de messagerie, des outils de partage de position et des centaines de réseaux privés virtuels, des outils conçus pour permettre aux utilisateurs de naviguer sur le Web sans être suivis. Sept des VPN sont conçus spécifiquement pour un public ukrainien. Le nombre total d’installations d’applications qui incluent le SDK AppMetrica se compte en centaines de millions, selon Appfigures, un groupe d’intelligence d’applications.
« Le SDK AppMetrica prétend fournir des services appropriés, tout en téléphonant à Moscou avec des détails de métadonnées profondément invasifs qui peuvent être utilisés pour suivre les personnes sur des sites Web et des applications », a déclaré Edwards, le chercheur.
« Pour les personnes présentant un profil de menace élevé ou occupant des postes de haut niveau, l’utilisation d’applications qui envoient ces données à Moscou est dangereuse et peut potentiellement conduire à des attaques sur les réseaux domestiques ou à d’autres formes de surveillance numérique. »
Le sénateur Wyden a ajouté : « Apple et Google soutiennent que leur contrôle quasi monopolistique sur leurs magasins d’applications est nécessaire pour assurer la sécurité des consommateurs. Chaque jour où des applications construites à partir du SDK russe Yandex restent dans ces magasins est une preuve supplémentaire que la sécurité des consommateurs qu’elles prétendent offrir est une illusion.
Yandex a défendu l’utilisation de son SDK, affirmant qu’il « fonctionne de la même manière que ses homologues internationaux », dont Google Firebase, présent dans plus de 2 millions d’applications Android. La société a déclaré qu’elle ne collecte des données qu’après que l’application a reçu le consentement des utilisateurs via les applications Android et iOS. « Nous informons les développeurs du fonctionnement d’AppMetrica et ils sont obligés, si la loi l’exige, d’obtenir le consentement de leurs utilisateurs », a ajouté Yandex.
La société a également déclaré: « Nous n’avons jamais fourni d’informations sur les utilisateurs d’applications sur lesquelles AppMetrica est installé, et on ne nous a jamais demandé de le faire. »
De même, Apple a déclaré qu’AppMetrica ne pouvait pas accéder sans discernement aux données des utilisateurs, car le SDK nécessite un consentement.
Patrick Jackson, directeur de la technologie chez Disconnect, un développeur d’outils de confidentialité numérique, explique que la raison pour laquelle les SDK peuvent présenter un risque est précisément parce qu’ils ne demandent pas d’autorisation. Au lieu de cela, ils « s’appuient sur les autorisations que vous, l’utilisateur, avez accordées à l’application », a-t-il déclaré.
Google a reconnu qu’il avait encore du travail à faire pour assurer la transparence des utilisateurs sur les SDK utilisés pour créer des applications et a déclaré qu’il mènerait une enquête sur la base des conclusions présentées par le FT.
Certains développeurs d’applications ont commencé à supprimer AppMetrica de leurs applications après l’invasion de l’Ukraine par la Russie. « Nous avons pris la décision de cesser d’utiliser les services appartenant à la Russie lorsque la guerre a commencé », a déclaré un porte-parole de Gismart, qui fabrique des dizaines de jeux avec AppMetrica installé.
Opera, un navigateur Web populaire avec un VPN intégré, a également déclaré avoir désactivé le SDK à partir du 15 février, « en préparation de sa suppression complète ». Il n’a pas donné de raison autre que de dire « nous sommes passés à notre propre plate-forme publicitaire ».
À l’inverse, plus de 2 000 applications ont ajouté le SDK AppMetrica depuis l’invasion de l’Ukraine, dont plusieurs semblent conçues pour suivre les utilisateurs ukrainiens.
« Call Ukraine », par exemple, est un « messager gratuit pour les Ukrainiens » qui a été lancé sur le Play Store le 10 mars en utilisant le drapeau bleu et jaune comme icône. Une fois téléchargée, l’application peut voir l’identité d’un utilisateur et lire ses contacts. Le développeur inclut une adresse e-mail factice : « [email protected] ».
Cher Scarlett a déclaré qu’il était préoccupant qu’AppMetrica ait été installé dans 21 applications VPN au cours des 30 derniers jours. « Vous essayez d’être proactif pour être plus en sécurité », a-t-elle ajouté, « mais en fait, vous vous rendez plus vulnérable ».