Le monde à l’envers : Clean Master, l’application antivirus Android, collecte aussi vos données
11/03/2020Le mois dernier, une étude a découvert que Clean Master, l’application de cybersécurité Android, collectait les données de ses utilisateurs telles que leur navigation en ligne ou encore l’historique de leurs recherches.
Avant son retrait récent du Google Play Store, cette application censée offrir une protection antivirus et une navigation privée, a tout de même été téléchargée plus d’un milliard de fois. En d’autres termes, elle est toujours utilisée par cette masse d’utilisateurs.
Clean Master
Clean Master est une application créée par Cheetah Mobile, une société internet installée à Pékin, dont les principaux investisseurs sont Tencent et Kingsoft.
Pour l’heure, Google n’a pas fourni d’explications quant à sa suppression de sa boutique d’applications. Toutefois, selon Forbes, un rapport d’une société de sécurité a fourni des preuves à Google que ce logiciel collectait toutes sortes de données privées d’utilisateurs. Ces données incluent les sites web visités à partir du navigateur « privé » de l’application, les requêtes sur les moteurs de recherches, le nom du point d’accès Wi-Fi ainsi que des informations plus spécifiques telles que la manière de faire défiler les pages consultées.
Auparavant, Clean Master a déjà été l’objet de controverses. En 2014, la société a été accusée de chercher à effrayer les utilisateurs qui téléchargeaient l’application par le biais de fenêtres contextuelles leur indiquant qu’un virus avait infecté leur dispositif. En 2018, Clean Master a été mise en cause pour fraude publicitaire.
Cependant, l’application est restée active et sa popularité a gagné du terrain avec plus d’un milliard de téléchargements avant son retrait définitif.
Autres applications de Cheetah Mobile dans le collimateur du rapport
Selon Gabi Cirlig, chercheur de la société de cybersécurité White Ops et auteur du rapport, Clean Master n’est pas la seule application de Cheetah Mobile qui surveille l’activité des utilisateurs. Trois autres produits de la société chinoise – CM Browser, CM Launcher et Security Master – se sont adonnés aux mêmes activités. Ces applications ont été également téléchargées des centaines de millions de fois.
Avant de fournir son rapport à Forbes, Cirlig a découvert que Cheetah Mobile stockait les données recueillies, les chiffrait et les envoyait ensuite sur un serveur chinois nommé « ksmobile[.]com ».
Cheetah Mobile se défend
Cheetah Mobile a affirmé tracer le trafic internet des utilisateurs et collecter d’autres données uniquement pour des raisons de sécurité. La société surveillerait la navigation internet pour s’assurer que les sites visités par les utilisateurs ne présente aucun risque. Cette surveillance permettrait également à l’application de fournir certains services telles que la suggestion de tendances. En ce qui concerne l’accès aux noms de réseaux Wi-Fi, Cheetah a expliqué qu’il s’agissait d’empêcher les utilisateurs de rejoindre des réseaux malveillants.
La société affirme qu’elle se conforme à toutes les lois locales sur la confidentialité et qu’elle ne vend pas les données privées des utilisateurs. Elle a également déclaré qu’elle ne renvoyait pas d’informations à un serveur chinois, mais bien à un système Amazon Web Services situé hors du pays. Cependant, Cirlig a constaté que le domaine où l’information était relayée était enregistré en Chine.
« Cheetah n’a aucune bonne raison de collecter des données »
Will Strafach, fondateur de l’application de sécurité Guardian iOS et chercheur sur les problèmes de confidentialité des smartphones, a déclaré que « Cheetah n’avait aucune bonne raison de collecter ces informations ».
Graham Cluley, analyste en sécurité ayant passé une grande partie de sa carrière à travailler pour des sociétés antivirus, a expliqué qu’une telle collecte de données était « clairement une préoccupation ».
« Il existe des moyens pour une entreprise de sécurité de vérifier les menaces sans avoir à collecter autant d’informations. Cette collecte pourrait potentiellement être utilisée pour réduire la confidentialité des utilisateurs. Le problème est qu’ils corrèlent le comportement des utilisateurs avec des données spécifiques qui peuvent être très facilement liées à une personne réelle derrière le téléphone. »
White Ops a informé Google du comportement de Clean Master en décembre. En février, Cheetah a découvert que ses comptes Google Play Store, AdMob et AdManager avaient été suspendus. Toutefois, Google n’a pas précisé si les avertissements de White Ops avaient conduit à cette suppression.
Cheetah Mobile, cotée à la Bourse de New York depuis mai 2014, a fait appel de la décision de Google. La société prétend collaborer avec le géant technologique dans le cadre de la résolution de cette affaire. Si Cheetah ne trouve pas un moyen de revenir sur Google Play, l’interdiction fera sérieusement baisser ses revenus. Au cours des neuf premiers mois de 2019, près d’un quart de ses revenus provenaient des services hébergés par Google.