Un rapport de Cybernews révèle que 22 applications de voyage notoires accèdent à des données personnelles et à des fichiers système critiques sur Android. Des autorisations d’accès qui semblent parfois cachées aux utilisateurs malgré le RGPD et présentent des risques pour le bon fonctionnement de l’appareil. La crainte ultime est de voir des hackers mettre la main sur les bases de données de ces applications et s’octroyer des droits d’accès aux données.
Les applications de voyage sont-elles un peu trop gourmandes en données personnelles ? C’est le constat fait par nos confrères de Cybernews lors d’une enquête menée auprès de 22 applications Android très utilisées dans le secteur de l’hôtellerie et du voyage. L’analyse révèle que certaines applications s’octroient le droit de lire tous les échanges par SMS – c’est notamment le cas de l’OTA indienne MakeMyTrip –, d’accéder à la caméra ou au microphone – 14 des 22 applications de voyage testées –, de lire les fichiers des utilisateurs et même modifier les paramètres du système, comme c’est le cas notamment pour HotelTonight, une application appartenant au groupe Airbnb.
Le top 22 des applications de voyage sur Android qui consomment le plus de données personnelles. Crédit : Cybernews
” Les applications qui demandent des autorisations sensibles, en particulier celles liées aux fichiers système et à la configuration des appareils, sont des signaux d’alarme pouvant suggérer une intention malveillante ou une mauvaise conception du code., prévient Mantas Kasiliauskis, chercheur en sécurité. Selon les informations de Cybernews, Booking.com, MakeMyTrop et HotelTonight seraient parmi les plus intrusifs.
En haut, les applications qui prétendent accéder à la caméra du téléphone de l’utilisateur, en bas, celles qui le font sans demander la permission de l’utilisateur. Crédits : Cybernews
Un manque de transparence
D’autres ont même la possibilité de passer des appels téléphoniques. Le problème ne réside pas tant dans le pouvoir qui leur est accordé mais plutôt dans le fait que certains acteurs ne révèlent pas explicitement qu’ils utilisent ces données personnelles, tant dans les informations affichées dans le Google Play Store que dans les fichiers publiés par les développeurs. . Ce comportement est néanmoins condamné par le RGPD qui appelle à une transparence totale quant à l’utilisation des données personnelles des utilisateurs.
Applications de voyage autorisées à lire les données du téléphone, selon le rapport de Cybernews. Crédits : Cybernews
” Une application bien conçue ne doit demander que les autorisations essentielles à son fonctionnement. Les utilisateurs doivent donc toujours faire preuve de prudence lorsqu’ils accordent des autorisations à des applications et les examiner attentivement. Malheureusement, notre enquête a révélé que ce n’est pas toujours le cas. » déplore Mantas Kasiliauskis.
Accès aux données sensibles des appareils
L’accès à l’identité internationale de l’équipement mobile (IMEI), à l’identité internationale de l’abonné mobile (IMSI), au numéro de téléphone ou encore au numéro de série de l’appareil et à l’identifiant unique de la carte SIM, s’avère particulièrement risqué et injustifié, selon aux spécialistes de la cybersécurité. Le chercheur souligne les risques de sécurité associés à l’autorisation découverte permettant à HotelTonight de manipuler et de modifier des fichiers au niveau du système.
En haut, les applications de voyage qui prétendent collecter des données de géolocalisation ; au milieu, celles qui donnent accès à une géolocalisation approximative ou précise ; en bas, ceux qui ne déclarent pas avoir accès aux données de géolocalisation. Crédits : Cybernews
Tout comme le fait que des applications comme Hilton Honor ou Trip.com sont capables de modifier la configuration d’un appareil, par exemple en changeant la langue, l’orientation de l’écran, la disposition du clavier et autres. réglages de l’appareil. De quoi perturber l’expérience utilisateur ou interférer avec le fonctionnement d’autres applications. En piratant les bases de données de ces applications, les hackers auraient carte blanche pour interférer avec le bon fonctionnement des téléphones portables des utilisateurs.
Autorisations facultatives, assurez MakeMyTrip et Marriott Bonvoy
« Nous privilégions la transparence en expliquant clairement le motif de chaque autorisation. Par exemple, l’accès à l’appareil photo est utilisé pour télécharger des photos de profil et des documents de vérification, notamment pour les échanges de devises et les demandes de visa.se défend un porte-parole de MakeMyTrip auprès de Cybernews, soulignant que les autorisations demandées étaient facultatives.
Un discours repris par un représentant du Marriot Bonvoy soulignant le caractère facultatif de la géolocalisation et des autorisations d’accès aux caméras. « Ils ne sont ni obligatoires ni définis par défaut au moment du téléchargement de l’application – l’utilisateur de l’application doit donner une autorisation spécifique dans les paramètres de son appareil mobile », il explique. De leur côté, Kayak et Momondo ont indiqué enquêter sur le fait que les autorisations demandées par leur application ne sont pas clairement signalées sur le Google Play Store. Pour rappel, les autorisations accordées aux applications peuvent être consultées depuis les paramètres du téléphone via le « Gestionnaire d’applications » ou depuis l’onglet « Applications ».
Photo d’ouverture : Pathum Danthanarayana
A lire aussi :
