Des applications conçues pour les personnes d’âge mûr présentent de multiples vulnérabilités de sécurité, selon une nouvelle étude de Concordia
La technologie et les appareils mobiles sont principalement associés aux jeunes, mais une nouvelle tendance émerge. Selon le Pew Research Center, environ 61 % des personnes d’âge mûr aux États-Unis possèdent un téléphone intelligent. On s’attend à ce que ce marché connaisse une croissance avec le vieillissement de la population, tout comme celui des applications mobiles conçues spécialement pour les personnes d’âge mûr.
Bien que ces applications puissent aider les utilisateurs âgés à rester connectés à leurs proches, à effectuer des activités liées à la santé et à stimuler leur vie sociale, elles sont loin d’être sûres. Selon une nouvelle étude d’une équipe de recherche de Concordia, certaines des applications pour personnes d’âge mûr les plus populaires présentent des risques importants pour la confidentialité et les données.
Les chercheurs ont testé 146 applications Android populaires et ont découvert que 95 d’entre elles, environ les deux tiers, protègent insuffisamment les utilisateurs d’une ou de plusieurs façons. C’est un risque important pour une population qui ne se méfie peut-être pas des dangers d’un monde de plus en plus connecté, disent-ils.
« Nombre de ces applications contiennent d’importants renseignements sur la santé ou la médication », mentionne l’auteur principal de l’article, Pranay Kapoor, M. Sc. 2022. « Un pirate pourrait utiliser les failles de ces applications pour modifier la médication ou les alertes de prise de médicament. Même de petits changements pourraient avoir des effets dévastateurs. »
L’étudiant à la maîtrise Rohan Pagey, le professeur Mohammad Mannan et le professeur Amr Youssef, tous de l’Institut d’ingénierie des systèmes d’information de l'Université Concordia de l’École de génie et d’informatique Gina-Cody, sont les coauteurs de l’étude.
Piratages simples, mais corrections faciles
Les chercheurs ont téléchargé les applications à partir de Google Play. Ils ont analysé les problèmes de sécurité et de confidentialité en cherchant des fuites de renseignements personnels, des problèmes de contrôle d’accès, une gestion inadéquate de l’authentification, la présence de traceurs de tierces parties et d’autres drapeaux rouges.
Ils ont découvert que de nombreuses applications n’avaient pas correctement authentifié les terminaux API du serveur, ce qui pourrait permettre aux pirates d’accéder à des données personnelles confidentielles. Dans d’autres cas, les comptes étaient facilement compromis; certaines applications transmettaient des renseignements personnels des utilisateurs de façon non chiffrée à des serveurs du côté client ou à des domaines de tierces parties. Des dizaines d’autres applications présentaient des vulnérabilités multiples.
Une fois leurs analyses terminées, les chercheurs ont communiqué avec les développeurs des applications problématiques pour leur faire part de leurs constatations. Sur les 35 développeurs contactés, seulement sept ont répondu, ce qui inclut deux réponses automatiques. Les cinq autres ont reconnu les problèmes et ont transmis l’information à leur équipe de sécurité.
« Nombre de ces vulnérabilités pourraient être atténuées si les développeurs suivaient les pratiques de sécurité de base, explique M. Kapoor. Ça devrait être relativement simple. Les équipes de développement devraient accorder davantage d’importance à la sécurité, mais elles s’inquiètent plus pour la livraison du produit. »
Le Pr Youssef ajoute que la sécurité n’est pas une exigence fonctionnelle. « Avant le lancement, les développeurs testent la fonctionnalité, mais peut-être pas la sécurité. »
Un projet personnel
M. Kapoor mentionne qu’une expérience personnelle fâcheuse l’a motivé à poursuivre son travail.
« Alors que je commençais cette recherche, ma grand-mère a été victime d’une arnaque, explique-t-il. Ça rendait l’expérience très concrète. Les personnes d’âge mûr sont ciblées parce qu’elles connaissent moins bien les nouvelles technologies. Souvent, des personnes plus jeunes leur donnent un téléphone sans leur expliquer son fonctionnement. Il incombe à tous d’assurer la sécurité des personnes d’âge mûr, y compris les développeurs. »
Cette étude a été soutenue par une bourse du Commissariat à la protection de la vie privée du Canada.
Découvrez l’article cité (en anglais) : Silver Surfers on the Tech Wave: Privacy Analysis of Android Apps for the Elderly.