Fuites de données à répétition : comment les applis tierces nous fragilisent

 |   |  786  mots
C'est une application tierce qui est à l'origine du scandale Cambridge Analytica, ayant éclaboussé Facebook en 2018.
C'est une application tierce qui est à l'origine du scandale Cambridge Analytica, ayant éclaboussé Facebook en 2018. (Crédits : Dado Ruvic)
Les applications tierces, qui permettent de partager des données avec d'autres services, sont régulièrement à l'origine de piratages massifs. Explications sur le fonctionnement de ces applis, et leur détournement redoutable par les pirates informatiques.

Elles sont souvent discrètes mais elles se cachent derrière des piratages massifs de données... Ce sont les applications tierces, là pour enrichir l'expérience utilisateur et collecter des données, qui gravitent autour des plateformes populaires comme Facebook, Twitter ou encore Google. Pour limiter les dérives observées, Mark Zuckerberg, Pdg et co-fondateur de Facebook, s'est dit "potentiellement intéressé" par l'utilisation de la Blockchain sur son réseau social, dans une interview publiée mercredi sur sa page Facebook. Cette technologie de chaînes de blocs (lire une définition ici) serait utilisée pour stocker les données personnelles des utilisateurs, qui pourraient ensuite décider quelles données partager et avec qui. En parallèle, Uber a annoncé jeudi avoir détecté un bug dans le code de son appli, permettant aux pirates informatiques d'accéder aux données des applications tierces. Explications.

■ Pourquoi les applis tierces sont à l'origine de fuite de données ?

Les applications tierces permettent d'apporter des services additionnels aux plateformes et réseaux sociaux pour enrichir l'expérience utilisateur : jeux, gifs, photos, vidéos... Ces applis tierces, difficilement quantifiables, forment de véritables galaxies autour des plateformes populaires. Prenons l'exemple de Twitter. L'application Thinglink permet de raccourcir les liens à publier sur le site de micro-blogging, quand Tweetdeck permet de faire de la veille et TheCounter propose des statistiques pour mesurer la popularité de ses messages... C'est d'ailleurs cette dernière application qui a été à l'origine du piratage massif de Twitter en 2017.

En France, le petit oiseau bleu a vu plusieurs milliers de comptes hackés - dont des ministères, des médias ou encore des hommes politiques. Pour proposer ses statistiques, TheCounter - comme toutes les applis tierces - réclame l'autorisation d'accès aux comptes. Ces applis sont donc semblables à des "portes d'entrée" pour les pirates informatiques.

■ Comment les applis tierces se connectent entre elles ?

Grâce à leurs utilisateurs. L'approbation de partager des données entre un réseau social et une appli tierce se fait en un clic, lors du téléchargement de l'appli en acceptant les fameuses conditions générales d'utilisation, ou en se connectant à un service avec la fonction "se connecter avec son compte Facebook", par exemple.

Ce partage extensif de données est à l'origine du scandale Cambridge Analytica. Le cabinet d'analyse Cambridge Analytica est critiqué pour avoir capté de manière détournée, et sans consentement, les données personnelles de 87 millions d'utilisateurs Facebook à des fins politiques. Il a pu s'accaparer les précieuses données via l'application "thisisyourdigitallife", créée en 2013 par un universitaire de Cambridge. Lors du téléchargement de l'application, les utilisateurs concédaient un droit d'accès à leurs données personnelles Facebook - comme leur ville d'origine et leurs centres d'intérêt. Ce n'est pas tout : l'application pouvait également avoir accès aux "amis" des utilisateurs l'ayant téléchargée, sans leur consentement non plus.

Deux mois après le scandale, Facebook avait annoncé avoir supprimé "environ 200 applications tierces", suspectées d'avoir détourné des données. Bien souvent, même lorsque l'application est supprimée, elle garde un accès aux données. "Difficile pour l'utilisateur d'en savoir plus sur l'utilisation réelle de ses données même après désinstallation", écrit la Cnil (Commission nationale de l'informatique et des libertés) dans une note de prévention sur son site.

■ Comment se protéger des fuites de données potentielles ?

Mieux vaut prévenir que guérir. Le meilleur moyen pour éviter de voir ses données personnelles fuiter est encore de limiter leur accès à votre profil. Il est ainsi possible sur certaines plateformes, comme Facebook, de limiter les informations partagées avec les applications tierces.

"Sur Facebook, vous pouvez personnaliser les informations complémentaires que vous souhaitez communiquer à l'application (comme l'adresse mail), limiter l'envoi de notifications, et faire en sorte qu'aucun de vos amis ne sache que vous l'utilisiez", détaille la Cnil dans une note explicative.

"Il existe une option "Applications que d'autres utilisent" qui vous permet de limiter l'accès de vos amis à des informations vous concernant, notamment lorsqu'ils utilisent une application", poursuit le gendarme des données. Sur Twitter, il est possible de découvrir l'ensemble des applications tierces utilisées et d'en "révoquer l'accès" si besoin depuis l'onglet "Paramètres et confidentialité".

Dès lors qu'une application n'est plus utilisée, il est fortement recommandé de la supprimer. "Même si l'application est supprimée, il se peut qu'elle utilise toujours vos données !", met en garde la Cnil. "Pour demander la suppression de ces données, contactez directement l'application, ou consultez sa politique de confidentialité."

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 22/02/2019 à 14:02 :
Bonjour,
Aujourd'hui sur un forum technique comme utilisateur apparaissait un google bot, un site web public compartimente t il correctement les données utilisateurs. Sous prétexte de référencement, nos faits et gestes sont ils limités au client que nous sommes et au seul serveur web des pages utilisées...
a écrit le 22/02/2019 à 10:55 :
J'ai personnellement utilisé une application radicale pour minimiser les risques : j'ai supprimé mon compte Facebook depuis plusieurs mois, et je n'ai jamais utilisé Twitter. Je me passerai bien aussi de Google, mais là je reconnais que c'est quasi impossible.
Quant à Amazon : connais pas.
a écrit le 22/02/2019 à 8:51 :
"Même si l'application est supprimée, il se peut qu'elle utilise toujours vos données !",

C'est même systématique, le but pour les concepteurs de ces logiciels étant d'abord d'aller piquer vos données plutôt que de vous permettre de jouer ou tout autre.

"Le commerce est l'école de la tromperie" Machiavel

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :