Gaode Maps, Bilibili et 2 autres applications chinoises révèlent de graves problèmes de sécurité ! Le département de la cybersécurité : les données personnelles pourraient être transmises en Chine

Le département du développement numérique a publié les résultats du contrôle de sécurité des applications chinoises, notamment Gaode Map, iQIYI, Bilibili et BIMOBIMO, révélant que toutes collectent de manière excessive des données sensibles et transmettent ces données à des serveurs en Chine.

Le département du développement numérique a publié les résultats du contrôle de sécurité de 4 applications chinoises

Ce 27 (mars), le département du développement numérique a officiellement publié les résultats du contrôle de sécurité des applications mobiles chinoises, comprenant Gaode Map, Bilibili, iQIYI et BIMOBIMO, toutes présentant des risques liés à la collecte de données personnelles, la lecture d’informations système, la surveillance en arrière-plan et la transmission de données vers la Chine.

Parmi elles, Gaode Map est l’application présentant le plus haut risque. Le département du développement numérique indique que la version Android a révélé 11 préoccupations en matière de sécurité, tandis que la version iOS comporte 8 risques.

Source : Département du développement numérique, Résultats du contrôle de sécurité des applications chinoises (Android)

Source : Département du développement numérique, Résultats du contrôle de sécurité des applications chinoises (iOS)

Ce contrôle s’est concentré principalement sur la surveillance en temps réel, l’accès inter-application, la collecte d’informations système, ainsi que le transfert et le partage de données, couvrant 4 grands aspects, avec un total de 15 éléments de test. Les vérifications incluent si l’application continue de lire la localisation, le presse-papiers, le microphone, les permissions multimédia, les dossiers de santé, le carnet d’adresses, le calendrier, l’identifiant de l’appareil, et si elle transmet en permanence des données à l’extérieur même lorsque l’application est fermée.

Le bureau de la sécurité informatique du département du développement numérique indique que presque toutes les 4 applications testées présentent des problèmes de lecture excessive de permissions sensibles non liées à leurs fonctions principales, et que certaines continuent de transmettre des données vers des serveurs en Chine sans que l’utilisateur en ait conscience.

Gaode Map, l’application la plus risquée, pourrait poser des problèmes de sécurité nationale

Selon les résultats publiés, la version Android de Gaode Map a été détectée avec jusqu’à 11 préoccupations en matière de sécurité.

Elle inclut la lecture continue de la localisation de l’utilisateur, l’accès au presse-papiers, la lecture de l’espace de stockage, la lecture de vidéos et d’images en temps réel, l’accès au microphone, au carnet d’adresses, au calendrier, aux données de santé et à l’identifiant de l’appareil, tout en continuant à transmettre des données à l’extérieur même lorsque l’application est fermée.

Bien que la version iOS présente moins de risques, elle comporte néanmoins 8 préoccupations, notamment la localisation continue, la lecture de vidéos et de données de santé, ainsi que le transfert de données vers des serveurs en Chine.

Le bureau de la sécurité informatique indique que certaines permissions de Gaode Map ne sont pas directement liées à ses fonctions de navigation, ce qui soulève des questions de collecte excessive de données personnelles.

Particulièrement, Gaode Map a récemment suscité une attention accrue en raison de son support pour la vue 3D de Taïwan, les temps de feu de circulation en temps réel et la navigation de haute précision. Le service de sécurité estime que, si ces données de localisation à long terme, les enregistrements de trajets et les informations de vue de rue sont croisées, cela pourrait permettre de déduire les habitudes, trajectoires et routines quotidiennes de certains individus.

Si ces données sont combinées avec celles des agences gouvernementales, des installations militaires ou des infrastructures critiques, cela pourrait entraîner des risques de collecte de renseignements, de surveillance de sites sensibles et de cyberespionnage.

De plus, étant donné que Gaode Map offre une navigation prolongée, l’obtention continue des permissions pour la vidéo, l’image en temps réel et le microphone pourrait également permettre une surveillance prolongée de la vie privée, des secrets commerciaux et des conversations.

Bilibili, iQIYI et BIMOBIMO présentent également des problèmes de transmission de données

Outre Gaode Map, Bilibili, iQIYI et BIMOBIMO ont également été détectés avec plusieurs préoccupations en matière de sécurité.

Le département du développement numérique indique que, sur Android comme sur iOS, ces 4 applications ont des permissions pour lire des vidéos, des images en temps réel, des identifiants d’appareil, etc., et transmettent ces données à des serveurs en Chine. De plus, elles présentent généralement des problèmes liés à la lecture du calendrier, des tâches à faire et des permissions du microphone.

Les utilisateurs Android doivent faire particulièrement attention : même si l’application est fermée, certaines continuent de transmettre des données à l’extérieur, tout en ayant des risques liés à la lecture du presse-papiers et de l’espace de stockage.

Le département du développement numérique souligne que la loi chinoise sur la cybersécurité et la loi sur le renseignement national permettent au gouvernement d’exiger des entreprises qu’elles fournissent des données, ce qui signifie que les informations collectées par ces applications pourraient être consultées par les services de sécurité, la police ou les agences de renseignement en Chine.

Le directeur de la sécurité, Li Yuwei, indique que si ces données sont divulguées lors de leur circulation ou de leur gestion, elles pourraient même entrer sur le marché noir, où elles seraient utilisées par des groupes de fraude pour des arnaques par IA, le vol de comptes, le marketing ciblé ou des attaques d’ingénierie sociale.

Les données du presse-papiers pourraient contenir des codes OTP, des informations de carte de crédit ou des identifiants de connexion ; les données de santé pourraient être exploitées pour analyser les habitudes de vie et le rythme quotidien ; les données audio et vidéo, si mal utilisées, pourraient même être employées pour générer des vidéos Deepfake.

Le département du développement numérique recommande aux citoyens de vérifier à nouveau les permissions de leur téléphone et les sources de téléchargement

En réponse à ces résultats, le département du développement numérique propose 3 recommandations en matière de sécurité.

1. Avant d’installer une application, lire attentivement la politique de confidentialité et les permissions demandées, pour s’assurer qu’elles correspondent aux fonctionnalités réelles.
2. Vérifier régulièrement les paramètres de permissions du téléphone, en désactivant celles qui ne sont pas nécessaires, comme la localisation, le microphone, le presse-papiers ou l’exécution en arrière-plan.
3. Si l’application n’est plus utilisée, la supprimer directement, redémarrer le téléphone, et utiliser des outils de sécurité pour scanner le dispositif.

Le bureau de la sécurité informatique rappelle également que, même si l’utilisateur ne donne pas explicitement certaines permissions, certaines applications peuvent continuer à collecter des données en arrière-plan via des mécanismes système ou des processus en arrière-plan.

Le département du développement numérique recommande en outre que les citoyens privilégient le téléchargement d’applications via des canaux légitimes et fiables, évitant ainsi d’installer des programmes provenant de sources inconnues. En cas de besoins en communication transfrontalière, navigation ou vidéo, il est conseillé de privilégier les fournisseurs locaux ou ceux disposant de normes de sécurité claires, afin de réduire les risques d’exposition prolongée des données personnelles et des informations sur l’appareil.

Avec la montée des outils d’IA, des plateformes transfrontalières et des applications intelligentes de plus en plus complexes, le téléphone devient un point d’entrée central pour les données personnelles, les informations de paiement et les traces de comportement. Les problèmes de sécurité révélés par Gaode Map et plusieurs applications chinoises soulignent l’importance de surveiller la souveraineté des données mobiles et les risques de surveillance numérique, qui pourraient devenir de nouveaux enjeux de sécurité nationale.