Utilisateurs d'Android : pour éviter les logiciels malveillants ...

Utilisateurs d'Android : Pour éviter les logiciels malveillants, essayez le magasin d'applications F-Droid

Opinion : Des chercheurs du Yale Privacy Lab affirment que le fléau des trackers dans les applications Android signifie que les utilisateurs devraient cesser d'utiliser la boutique Google Play.

Dans les premiers jours d'Android, le cofondateur Andy Rubin a posé les jalons du système d'exploitation mobile naissant. La mission d'Android était de créer des appareils mobiles plus intelligents, plus conscients du comportement et de la localisation de leur propriétaire : "Si les gens sont intelligents, déclarait Rubin à Business Week en 2003, ces informations commencent à être agrégées dans des produits de consommation". Une décennie et demie plus tard, cet objectif est devenu une réalité : Des milliards de personnes possèdent des gadgets fonctionnant sous Android et sont équipés de logiciels fournis par Google, le plus grand courtier publicitaire du monde.
Notre travail au Yale Privacy Lab, rendu possible par le logiciel d'analyse des applications d'Exodus Privacy, a révélé un énorme problème dans l'écosystème des applications Android. Google Play est rempli de traqueurs cachés qui siphonnent un smörgåsbord de données provenant de tous les capteurs, dans toutes les directions, à l'insu de l'utilisateur d'Android.

Comme le révèlent les profils que nous avons publiés sur les trackers, les applications de la boutique Google Play partagent une grande variété de données avec les annonceurs, de manière créative et nuancée. Ces méthodes peuvent être aussi invasives que le pistage par ultrasons via les haut-parleurs et les microphones des téléviseurs. Des piles d'informations sont récoltées via des canaux labyrinthiques, avec un accent particulier sur le marketing de détail. C'était le plan depuis le début, n'est-ce pas ? Les appareils mobiles intelligents qui composent l'écosystème Android sont conçus pour espionner les utilisateurs.

Une semaine après la publication de nos travaux et l'annonce du scanner Exodus, Google a déclaré qu'il allait étendre sa politique en matière de logiciels indésirables et mettre en place des avertissements sur les clics dans Android.

Mais cette décision ne corrige en rien les défauts fondamentaux de Google Play. Un océan d'applications polluées empoisonne Android, un système d'exploitation fondé sur des logiciels libres et open-source (FOSS) mais qui ne ressemble plus guère à ces vénérables racines. Aujourd'hui, l'appareil Android moyen n'est pas seulement vulnérable aux logiciels malveillants et aux traqueurs, il est également fortement verrouillé et chargé de composants propriétaires - des caractéristiques qui ne sont guère les cartes de visite du mouvement FOSS.

Bien qu'Android porte le nom de logiciel libre, la chaîne de confiance entre les développeurs, les distributeurs et les utilisateurs finaux est rompue.

Les contrôles défectueux de Google en matière de confidentialité et de sécurité ont été rendus douloureusement réels par une enquête récente sur le suivi de la localisation, les épidémies massives de logiciels malveillants, le cryptomining indésirable et notre travail sur les trackers cachés.

La promesse de l'Open-Source, non tenue

Il n'était pas nécessaire qu'il en soit ainsi. Lorsqu'Android a été déclaré réponse de Google à l'iPhone, l'excitation était palpable sur Internet. Android était ostensiblement basé sur GNU/Linux, l'aboutissement de décennies d'ingéniosité de hackers destinés à remplacer les logiciels propriétaires verrouillés. Les hackers du monde entier espéraient qu'Android serait le champion du logiciel libre dans l'arène mobile. Les logiciels libres sont l'étalon-or de la sécurité et ont acquis cette réputation au fil des décennies grâce à leur transparence fondamentale.

Cependant, au fur et à mesure du déploiement des versions d'Android, il est apparu que le bébé de Rubin contenait très peu de GNU, un point d'ancrage vital qui maintient la transparence des systèmes d'exploitation GNU/Linux grâce à une stratégie de licence appelée copyleft, qui exige que les modifications soient mises à la disposition des utilisateurs finaux et interdit les dérivés propriétaires. Ces composants propriétaires peuvent contenir toutes sortes de "fonctionnalités" désagréables qui piétinent la vie privée des utilisateurs.

Comme l'indique clairement un article d'Ars Technica de 2016, il existait des directives au sein de Google pour éviter le code copyleft - sauf pour le noyau Linux, dont l'entreprise ne pouvait se passer. Au lieu de cela, Google préférait créer un code sous licence permissive au-dessus de Linux. Ce type de code peut être verrouillé et n'oblige pas les développeurs à divulguer leurs modifications, ni même le code source.

Le choix de Google de limiter la présence du copyleft dans Android, son dédain pour les licences réciproques et son utilisation à contrecœur du copyleft uniquement lorsqu'il est "logique de le faire" ne sont que les symptômes d'un problème plus profond. Dans un environnement sans transparence suffisante, les logiciels malveillants et les traqueurs peuvent prospérer.

Les problèmes de confidentialité et de sécurité d'Android sont amplifiés par les entreprises de téléphonie mobile et les fournisseurs de matériel informatique, qui intègrent des applications Android et des pilotes de matériel douteux. Bien sûr, la majeure partie d'Android est encore à code source ouvert, mais la porte est grande ouverte à toutes sortes de tromperies logicielles que vous ne trouverez pas dans un système d'exploitation comme Debian GNU/Linux, qui se donne beaucoup de mal pour auditer ses paquets logiciels et protéger la sécurité des utilisateurs.

La surveillance n'est pas seulement un problème récurrent sur les appareils Android ; elle est encouragée par Google à travers ses propres services publicitaires et ses outils de développement. L'entreprise est un gardien qui non seulement facilite l'insertion de code de traçage par les développeurs d'applications, mais développe également ses propres traqueurs et sa propre infrastructure en nuage. Un tel écosystème est toxique pour la vie privée et la sécurité des utilisateurs, quels que soient les résultats pour les développeurs d'applications et les courtiers en publicité.

Apple est actuellement sous le feu des critiques pour son propre manque de transparence logicielle, admettant qu'il avait ralenti les anciens iPhones. Et les utilisateurs d'iOS ne devraient pas non plus pousser un soupir de soulagement en ce qui concerne les trackers cachés. Comme nous l'avons noté au Yale Privacy Lab en novembre : "Un grand nombre des sociétés qui distribuent les applications Google Play distribuent également des applications via Apple, et les sociétés de traqueurs font ouvertement de la publicité pour des kits de développement logiciel compatibles avec plusieurs plateformes. Ainsi, les trackers publicitaires peuvent être simultanément packagés pour Android et iOS, ainsi que pour des plateformes mobiles plus obscures."

La transparence dans le développement et la livraison des logiciels permet d'améliorer la sécurité et la protection de la vie privée. Non seulement le code source vérifiable est une exigence (mais pas une garantie) de sécurité, mais un processus clair et ouvert permet aux utilisateurs d'évaluer la fiabilité de leurs logiciels. En outre, cette clarté permet à la communauté de la sécurité d'examiner attentivement les logiciels et de trouver les composants nocifs ou non sécurisés qui peuvent s'y cacher.

Les trackers que nous avons trouvés dans Google Play ne sont qu'un aspect du problème, même s'ils sont étonnamment répandus. Google passe les applications au crible lors du processus de soumission de Google Play, mais les chercheurs trouvent régulièrement de nouveaux logiciels malveillants effrayants et il n'y a aucun obstacle à la publication d'une application remplie de trackers.

Trouver une solution de remplacement

Le Yale Privacy Lab collabore désormais avec Exodus Privacy pour détecter et dénoncer les trackers à l'aide de la boutique d'applications F-Droid. F-Droid est le meilleur remplacement de Google Play, car il ne propose que des applications libres sans traçage, dispose d'un processus d'audit strict et peut être installé sur la plupart des appareils Android sans aucun problème ni restriction. F-Droid n'offre pas les millions d'applications disponibles dans Google Play, donc certaines personnes ne voudront pas l'utiliser exclusivement.

Il est vrai que Google passe au crible les applications soumises à la boutique Play pour filtrer les logiciels malveillants, mais le processus est encore largement automatisé et très rapide - trop rapide pour détecter les logiciels malveillants Android avant leur publication, comme nous l'avons vu.

L'installation de F-Droid n'est pas une solution miracle, mais c'est la première étape pour se protéger des logiciels malveillants. Grâce à ce petit changement, vous pourrez même vous vanter auprès de vos amis possédant un iPhone, qui sont limités à l'App Store d'Apple à moins qu'ils ne jailbreakent leur téléphone.

Mais pourquoi débattre de l'iPhone contre Android, Apple contre Google, de toute façon ? Votre vie privée et votre sécurité sont bien plus importantes que l'allégeance à une marque. Débattons de la liberté et de la servitude numériques, de la liberté et de la non-liberté, de la vie privée et de l'espionnage.

Traduit avec www.DeepL.com/Translator (version gratuite)

Référence : Android Users: To Avoid Malware, Try the F-Droid App Store