BlackBerry-World-mini

BlackBerry World : des applications populaires non sécurisées ?

Les utilisateurs de smartphones BlackBerry aiment la sécurité offerte par leur terminal et d’une manière plus large par l’écosystème BlackBerry. Il est vrai que nous n’entendons ou ne lisons que très rarement des articles ou documents indiquant que la sécurité, si chère au constructeur canadien, est en péril.

D’une manière générale, les tests réalisés afin de trouver des failles sont nettement plus stériles que ceux réalisés sur la concurrence. Mais nul n’est infaillible !

En effet, un rapport de recherche sur la sécurité présenté par Lloyd Summers de FileArchiveHaven.com a pris 12 des applications BlackBerry 10 les plus populaires pour les réseaux sociaux et les a décortiquées, afin de déterminer à quels risques potentiels s’expose l’utilisateur final. Malheureusement, certaines d’entre elles offriraient des angles d’attaque pour des potentiels piratages.

Les applications qui ne présentent aucun, ou un risque faible sont les suivantes : Meetup for BlackBerry 10, BlackBullet, Work Wide, Hub Browser, Foursquare, Blaq, Igrann et Facebook Messenger Lite. Cela représente 8 applications sur les 12 testées. Cela signifie donc que 66% de ces dernières sont fiables. Ce qui est quand même un bon score et montre que même les développeurs ont l’esprit de la sécurité lorsqu’ils imaginent leurs applications.

Les applications qui reçoivent le bonnet d’âne si je puis me permettre l’expression, sont : Twittly, Insta10, Snap10 et Snap2Chat.

Voici ce que le rapport explique pour les applications dont la sécurité est compromise :

  • Snap10 : « Lors des tests, l’application s’est connectée à Snapchat 2 fois sur les 340 connexions ce qui signifie qu’elle a la possibilité d’utiliser 300 fois la bande passante par rapport à la demande officielle de Snapchat. Elle est connectée à une douzaine de sites en plus du site Snapchat, et a demandé un total de 10 autorisations. L’application reçoit des centaines de demandes de publicité cachés de la part de Smaato mais cela est invisible pour l’utilisateur. Plus important encore, elle présente des données de l’utilisateur, y compris le nom, le sexe, l’âge, etc. en texte clair sur Internet pou un site Web caché de Nemory Studios. Enfin, elle soumet ensuite les données privées de l’utilisateur en texte clair en HTTP régulier pour un site Web appelé http://kellyescape.com. L’application interroge Kelly plusieurs fois et échange les données de texte brut ce qui signifie que votre information personnelle est entièrement visible par quelqu’un d’autre sur le même réseau que vous et tous ceux entre KellyEscape.com et vous ».

Nemory a rapidement réagit aux affirmations de ce rapport. Il affirme que les seules données qui sont recueillies par les utilisateurs sont les « données utilisateurs quand il est tenu de les soumettre. ». Il explique également qu’il ne stocke pas les mots de passe de connexion des utilisateurs. Cela a été corroboré par le rapport FAH. De plus, il va changer certaines parties de chacune de ses applications que le rapport FAH a considéré comme compromises. Selon Nemory, « Kellyescape.com sera supprimé parce que le domaine est mort. ». Il va également « modifier le http qui doit être https ».

Ces changements n’auront pas seulement lieu pour Snap10, mais aussi pour quelques autres applications. Deux autres applications de NemOry Studios, Insta10 et Twittly, ont été classés comme présentant un risque élevé de violations de la sécurité pour l’utilisateur final.

À propos, le rapport indique pour :

  • Twittly : « Pour l’une majorité, l’application analyse et télécharge un volume important de données inhabituelles de Google Translate. Il y a également une boucle de liens soit vers un site Web piraté, ou le site de quelqu’un d’autre, en utilisant les fichiers PHP stockées sur http://waterworldjax.com – c’est un risque majeur de sécurité qui peut causer des détournements. Parce que toutes les données sont soumises en HTTP en texte clair, il est facilement possible pour quelqu’un de voler l’information. Le rebond URL est assez suspect pour faire avancer ce risque de moyen à élevé ».

Ce rapport est à prendre comme un signal d’alarme. En effet, même si nous utilisons des terminaux BlackBerry qui nous confèrent une certaine sécurité, il faut toujours faire attention aux différentes permissions que peuvent vous demander les applications lors de l’installation. De même, en acceptant ces demandes, il faut garder à l’esprit l’ensemble des données qui peuvent être accessibles par l’application et peut-être plus. N’oubliez pas que le premier rempart de la sécurité n’est autre que vous.

Enfin, je profite de ce rapport pour vous rappeler que vous pouvez facilement gérer les autorisations des applications. Pour cela, il vous suffit de vous rendre dans les paramètres depuis un slide du haut de l’écran vers le bas. Ensuite, allez dans « Gestionnaire d’applications ». Une fois dans cette partie, appuyez sur « Accédez à l’écran autorisations des applis pour modifier les autorisations d’applications individuelles ». Une fois que vous avez cliqué sur cette phrase, choisissez l’application dont vous souhaitez modifier les autorisations. Un nouvel écran s’affichera et vous pourrez activer ou désactiver une ou plusieurs autorisations.

Vous pouvez consulter le rapport complet en suivant ce lien, et la réponse de Nemory Studios ici.

Vous aimez nos news au sujet de la marque BlackBerry et vous souhaitez rester informer à tout moment, rejoignez-nous sur nos différents supports et réagissez ! 



Il y a 11 commentaires

Ajoutez le vôtre
  1. Podolski

    Que dire de l’application Amazon intégrée à BB 10 qui demande d’avoir accès à pratiquement tous les fichiers et infos stockées sur mon Z10 pour fonctionner. Il est impossible de supprimer l’icône. Tout cela pour exploiter les infos et les revendre à des sociétés tiers. Le nombre d’applications qui demandent à avoir accès aux infos des terminaux va croissant. Je préfère ne rien installer que ses apps. Blackberry vante la sécurité de ses terminaux mais ces applications sont de véritables espions au sein des terminaux. – Via B-FR

    • Lolo

      N’exagérons rien hein, quid d’android et d’apple et de windows qui eux ne te demandent même pas l’autorisation de se servir de tes données. Quand tu installes une app sur ton BB, tu lui accordes certains accès, si tu n’es pas d’accord, tu n’installes pas c’est tout. Si tu es d’accord, tu le fais en connaissance de cause. Certains apps demandent tous ces accès peu importe le support, dire que BB ouvre l’accès de ses smartphones à des espions est une énorme connerie. Pourquoi ne changes-tu pas de téléphone si cela te dérange autant.

    • Xandrex

      @podolski

      Je peux ressentir votre haine à l’égard de toutes les applis Android, mais contrairement à vous, je ne prête pas de mauvaises intentions à Amazon. Pour mémoire, Amazon est une entreprise commerciale dont l’objectif est de vous vendre des produits physiques (comme des téléphones ou des chaussures), des produits digitaux (comme des films, de la musique, des applis ou des e-books), et des services (leur cloud par exemple).

      Ce qu’ils savent de vous (y compris à travers l’Amazon Appshop), croyez bien qu’ils vont le garder précieusement pour eux ! 😀

      Cela étant dit, je vois mal BlackBerry autoriser Amazon à avoir son AppShop intégré sur tous les BlackBerry avec des risques de fuites de vos données personnelles. Quand on utilise BlackBerry10, il faut un minimum de confiance, et savoir ce qu’on en attend.

      Xandrex – Via B-FR

  2. bb9727

    Vous n’êtes pas obligé d’autoriser l’accès aux fichiers de votre téléphone avec l’application Amazon intégré elle fonctionne très bien sans. Le BlackBerry World n’est ni plus ni moins sécurisé que les autres Os je pense et puis si l’on veut un téléphone gadgets comme les concurrents avec un tas d’application faut prendre les bon et les mauvais côtés…

  3. Podolski

    Désolé pour l’appli Amazon vous ne pouvez pas limiter l’accès de l’app à tout votre Blackberry, c’est tout ou rien. – Via B-FR

  4. Xandrex

    Alors par rapport à l’article… il faut bien comprendre de quoi il s’agit. Il y a des données qui circulent en clair en effet, mais ce sont des données qui sont limitées à ce que l’appli connaît, cad au pire votre identifiant snapchat ou Instagram. Évidemment, il faut que les développeurs corrigent mais il n’y a pas à dire que c’est une faille de sécurité de BlackBerry comme certains l’interpretent (pas ici, je parle d’autres blogs ;)) .

    Xandrex – Via B-FR

  5. Podolski

    Quand une application veut avoir accès à tous vos fichiers pour pouvoir l’utiliser je crois que sans être parano on peut être certain qu’elle va monayer auprès de société tiers les infos
    Pourquoi monsieur Chen a signé un partenariat avec Amazon, l’argent bien sur, en retour que croyez vous qu’Amazon attend de ce partenariat. Je crois que vous ne connaissez d’Amazon que le site de vente, mais c’est surtout une énorme boîte qui n’a aucun scrupule à la
    marchandisation des infos privées des clients. Il est hors de question que j’ ouvre ma vie privée à une multi nationale pour télécharger une appli. – Via B-FR

    • Xandrex

      Une application à besoin d’accéder aux fichiers par exemple pour… je sais pas moi, installer une appli?

      Comment faire pour installer une appli si on n’a pas le droit d’écrire de fichiers?
      C’est assez limité comme raisonnement de dire « une appli veut écrire dans mes fichiers donc elle est malveillante ».

      Par ailleurs, Chen passe le partenariat avec Amazon car il a besoin que madame Michu qui achète un BlackBerry Classic puisse installer Candy Crush Saga en trois clics. Sans le Amazon Appshop installé par défaut, ce n’est pas possible.

      Et pourquoi Amazon accepte ce partenariat? C’est très simple. Parce que ça ramène de nombreux clients (j’ai acheté Des jeux dans le Amazon appshop pour mon Passport par exemple), et encore plus de clients (dans Candy Crush Saga tu peux acheter des vies et des bonus avec ton compte Amazon).

      Encore une fois, le but d’Amazon est de récupérer ton argent par tous les moyens. Pas vendre leurs données à des concurrents.

      Et je terminerai en disant que craindre des multinationales, en soi ça n’a pas de sens. Orange est une multinationale, Free.fr aussi, et je ne parle même pas de BlackBerry.

      Cela étant dit, je comprends parfaitement que des gens n’aiment pas l’entreprise Amazon ; il y a de bons arguments, et ceux présentés dans votre message n’en font pas partie (ou alors il vous faut étayer avec des exemples concrets).

      Xandrex
      – Via B-FR

  6. amazonespion

    Je lis ici que certains modèrent les exigences d’amazon en matière d’exigence aux accès de nos informations sans mentionner qu’Amazon Exige l’accès a nos identifiants, code PIN, micro pour enregistrer des sons et nos appels persos. De qui se moque t on?


Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.