Un “scanner” pour Smartphones et tablettes développé par les experts en sécurité informatique de Sarrebruck
Depuis juin 2012, l’observatoire de la qualité Warentest, financé par le gouvernement fédéral, a repéré 37 applications populaires sur Internet comme “critiques” pour la sécurité des données privées. A ce problème croissant, les chercheurs du Centre pour la Sécurité et la confidentialité des TIC de l’Université de Sarrebruck (CISPA, Sarre) ont développé une solution de scan systématique des données demandées par les apps, qu’ils présenteront notamment au Salon de la sécurité informatique “it-sa” se déroulant du 16 au 18 octobre 2012 à Nuremberg (Bavière).
L’approche du CISPA s’est basé premièrement sur le système d’exploitation pour smartphone Android 3.x, reconnu pour son contrôle assez rigoureux des droits privés. Si l’utilisateur veut installer une application téléchargée, il apprend sur une liste ce que l’application demandera à sa première utilisation, en tant qu’accès aux données (emails, contacts, photos) ou de fonctions (connexion internet, localisation). Michael Backes, directeur du CISPA, souligne qu’à l’état actuel “soit vous êtes d’accord avec cette liste, soit vous vous passez de l’application. Une fois que vous avez accordé les droits, vous ne pouvez plus annuler”. Selon M. Backes, cela signifie que des utilisateurs peuvent accepter de nombreuses applications sur leurs appareils même s’ils les considèrent comme suspectes. Une société fondée par des chercheurs du CISPA veut aller plus loin : elle a développé sur la base de cette approche une solution nommée AppGuard, en téléchargement gratuit sur Internet. “Comme au passage sécurité d’un aéroport, AppGuard scan en temps réel toute application active sur le smartphone et permet de savoir ce qui ce passe sous la surface, quelles sont les tentatives d’accès aux contacts, de connexion Internet ou de géolocalisation”. Avec elle, les utilisateurs peuvent à tout moment retirer les droits à une application ou les réaccorder. Depuis juillet, AppGuard a déjà été téléchargée par plus de 100.000 utilisateurs.
“Il semble que du point de vue de l’utilisateur nous ayons frappé sur ce que les gens attendaient”, conclut M. Backes, ajoutant: “C’est l’un des objectifs principaux du CISPA : que pour toute nouvelle solution TIC, les citoyens puissent garder le contrôle de leurs données personnelles, ou de la transparence sur le traitement, le stockage et l’utilisation de leurs données par des tiers”.
CISPA est l’un des trois centres d’excellence pour la sécurité informatique, financé à ce titre par le Ministère fédéral de l’Enseignement et de la Recherche (BMBF). Favorisant une approche holistique de la sécurité, il collabore avec des instituts de recherche du pôle sarrois : l’Institut Max Planck d’informatique, l’Institut Max Planck pour les systèmes logiciels, le Cluster d’excellence “Informatique multimodal et Interaction” et le Centre de recherche allemand sur l’intelligence artificielle (DFKI).
Sources :
“Saarbrücker Experten für IT-Sicherheit rüsten Smartphones und Tablet-Rechner auf”, dépêche idw, communiqué de presse de l’Université de la Sarre – 01/10/2012- http://idw-online.de/pages/en/news499172
Rédacteurs :
Charles Collet, charles.collet@diplomatie.gouv.fr – https://www.science-allemagne.fr