Ces apps iOS utilisent du code russe, et collectent des données sensibles
Une application utilisée par l’armée américaine a été touchée par ce problème.
C’est une enquête qui révèle de vraies vulnérabilités. Reuters a en effet constaté que 8000 applications iOS et Android contiennent un code de profilage des utilisateurs appartenant à une société russe qui s’est fait passé pour une entreprise américaine.
Selon les informations connues, elle disposerait de données présentes sur 2,3 milliards d’appareils. Dans le contexte de la guerre en Ukraine, cela soulève des questions en matière de confidentialité et de sécurité des données personnelles.
Une fausse société américaine… basée en Sibérie
Concrètement, les développeurs recourent souvent à des bouts de code écrits par des tiers pour perfectionner leurs applications. Et ils ont justement massivement utilisé ceux de l’entreprise Pushwoosh basée en Sibérie qui se présente pourtant comme installée aux États-Unis dans sa description.
Dans le lot, de prestigieuses organisations américaines dont les Centers for Disease Control and Prevention (CDC), les autorités de veille sanitaires locales. Mais aussi l’armée américaine qui a supprimé une app contenant du code russe en mars dernier en invoquant des problèmes de sécurité. Il s’agissait d’un portail d’information destiné à l’entraînement de ses troupes en Californie.
Et Pushwoosh n’a pas sévi qu’aux États-Unis. Selon Reuters, son code a aussi notamment été utilisé sur une application de l’UEFA, ou encore sur celle du Parti travailliste britannique.
Pour autant, il n’y aucune preuve formelle d’une utilisation malveillante de ce code par l’entreprise. Il s’agit probablement d’un moyen d’échapper aux sanctions appliquées par les occidentaux sur la Russie à la suite de l’invasion de l’Ukraine. Cela dit, l’affaire reste préoccupante car elle est parvenue à tromper la vigilance de célèbres institutions sans grande difficulté.
Il faut dire que Pushwoosh se présente volontiers comme une entreprise américaine qui dispose de bureaux dans certaines grandes villes du pays. De faux profils de dirigeants ont même été créés sur LinkedIn pour mieux tromper les utilisateurs.
