-
Shelley Shan / Journaliste
Le ministère des Affaires numériques a déclaré hier qu’Amap (高德地圖), iQIYI (愛奇藝) et deux autres applications chinoises demandaient l’accès à des informations confidentielles sans rapport avec leurs fonctions principales lorsqu’elles étaient installées sur des appareils, et que l’application cartographique pouvait présenter un plus grand risque de sécurité que d’autres.
Le ministère a publié les résultats des tests de cybersécurité de quatre applications chinoises après des informations selon lesquelles Amap pourrait afficher des minuteries de feux de circulation sur certaines routes de Taiwan, soulevant des inquiétudes quant aux risques potentiels en matière de cybersécurité.
Amap est une carte numérique développée par AutoNavi Software Co (高德軟件), basée à Pékin, qui fait partie d’Alibaba Group Holding Ltd (阿里巴巴), et iQIYI est un service de streaming appartenant à la société de recherche Internet Baidu Inc (百度).
Photo gracieuseté du ministère des Communications numériques
Les deux autres applications étaient Bilibili (嗶哩嗶哩), une plateforme de streaming basée à Shanghai, et BimoBimo (比萌比萌), une application de chat qui facilite l’interaction avec les personnages générés par l’IA.
Le ministère a testé les versions Android et iOS des quatre applications, a déclaré Li Yu Wei (李昱緯), chef du bureau de cybersécurité.
L’agence de cybersécurité a testé quatre applications en utilisant 15 indicateurs répartis en quatre catégories : lecture des données d’autres applications, collecte et partage des données des utilisateurs, accès aux données des appareils des utilisateurs et lecture de l’activité des utilisateurs, a déclaré Lee.
Parmi les quatre applications, Amap présentait le comportement le plus risqué, avec 11 détectées sur les appareils Android et huit sur les appareils iOS, a-t-il déclaré.
Amap a demandé l’autorisation d’accéder aux informations personnelles, y compris l’accès à la mémoire et aux informations du calendrier, la transmission de données externes en cas d’inactivité et la transmission de données à un serveur en Chine, a-t-il déclaré.
Les personnes qui utilisent Amap courent le risque de transmettre des informations de carte de crédit, des activités personnelles et d’autres informations sensibles à des tiers non liés, a-t-il déclaré.
Amap a un accès en arrière-plan aux autorisations audio, vidéo, photos en direct et microphone, a déclaré Lee, ajoutant qu’il peut également accéder aux listes de contacts, à l’espace de stockage, aux dossiers liés à la santé et aux identifiants des appareils.
“Dans ce cas, la vie privée ou les informations commerciales confidentielles peuvent être compromises et les réseaux sociaux peuvent être utilisés à des fins de marketing non autorisées”, a déclaré Lee. “Les fichiers et les données stockés sur les appareils mobiles personnels, tels que les routines quotidiennes, peuvent être collectés et analysés. Si des données audio ou vidéo sont obtenues de manière inappropriée ou divulguées, elles peuvent être utilisées à des fins frauduleuses ou à d’autres fins illégales.”
Des tests ont montré qu’Amap est capable de suivre et d’enregistrer en permanence les mouvements des propriétaires d’appareils, ce qui pourrait contribuer à créer une empreinte numérique, a-t-il déclaré.
Les applications basées en Chine transfèrent généralement les données vers des serveurs en Chine, a-t-il ajouté, ajoutant que les lois chinoises sur la cybersécurité et le renseignement national exigent que les opérateurs d’applications transmettent les données des utilisateurs aux agences chinoises de sécurité nationale, de sécurité publique et de renseignement.
L’utilisation d’empreintes numériques pour une géolocalisation précise présente des risques pour la sécurité personnelle, tandis que les données des utilisateurs peuvent être légalement consultées ou transférées au-delà des frontières et risquent d’être utilisées à mauvais escient, a déclaré Lee.
Le minuteur de feux de circulation d’Amap et les fonctionnalités d’affichage de la rue en 3D peuvent être croisés pour suivre des personnes spécifiques, a-t-il déclaré.
Si des données à long terme sur des individus sont collectées, elles pourraient être utilisées par des régimes hostiles pour faciliter l’espionnage, surveiller les infrastructures critiques et accéder aux systèmes de sécurité nationale, a déclaré Lee.
Bilibili, iQIYI et BimoBimo ont également autorisé l’accès aux calendriers, aux listes de tâches, au stockage et à d’autres activités suspectes, a-t-il déclaré.
Si les gens autorisent l’application à accéder à leurs données, leurs données personnelles et celles de leur appareil peuvent être collectées, profilées, réutilisées ou stockées dans d’autres pays, a-t-il déclaré.
Ces informations peuvent également être utilisées par les fraudeurs pour faciliter des activités frauduleuses, a-t-il ajouté.
“Même si les gens n’autorisent pas l’application à accéder à leurs données, certaines applications peuvent collecter secrètement des informations personnelles”, a déclaré Lee.
Les gens devraient lire les politiques de confidentialité des applications et vérifier la légitimité de leurs demandes de consentement avant de les télécharger, a déclaré Lee, ajoutant que les logiciels de cybersécurité peuvent améliorer la protection des données.
À la question de savoir si la désinstallation d’applications pourrait éliminer les logiciels malveillants et autres risques de cybersécurité, le directeur général de la cybersécurité, Tsai Fu-longe (蔡福隆), a déclaré que les applications devraient être téléchargées via des canaux bien établis.
« Les gens devraient redémarrer leurs appareils après avoir désinstallé les applications indésirables et utiliser régulièrement des logiciels de cybersécurité pour vérifier les risques potentiels », a déclaré Tsai.
Rapport supplémentaire de l’AIIC