Commerce

Les applications e-commerce manipulent les données personnelles

Par le

Dans le monde entier, la croissance du commerce électronique est principalement tirée par les consommateurs qui utilisent leurs appareils mobiles, téléphones et tablettes à travers les applications mobiles pour acquérir des biens et des services. Selon les estimations d’eMarketer , les ventes en ligne du commerce de détail ont atteint 2 300 milliards de dollars en 2017, soit une augmentation de 23,2% par rapport à l’année précédente. La part mobile dans ce secteur s’élève à 58,9%, soit 1,4 billion de dollars. En 2021, le commerce électronique mobile pourrait rapporter quelque 3 500 milliards de dollars et représenter près de trois quarts (72,9%) des ventes du commerce électronique.

Le M-commerce, ou E-commerce pour mobile, a le vent en poupe auprès des Français et le nombre d’achats réalisés en ligne à partir des smartphones continue d’augmenter. Comme le montre notre graphique, issu des données de Criteo, la part des ventes en ligne sur mobile a progressé de 43 % en France entre le troisième trimestre 2017 et 2018.

Les plus grands e-commerçants mondiaux vendent leurs produits par le biais d’applications mobiles utilisées par des milliards d’utilisateurs. Aujourd’hui, 82% des internautes réalisent leurs achats via leur appareil mobile, selon un rapport Statista. Lorsqu’une application manipule des données personnelles et financières, elle est contrainte par des lois, telles que le Règlement Général sur la Protection des Données (RGPD) ou la Directive sur les Services de Paiement 2 (DSP2), d’intégrer des fonctionnalités de sécurité qui assureront la confidentialité et la protection des données dès la conception.

38 applications e-commerces

Le laboratoire de Pradeo a passé au crible les 38 applications e-commerces les plus téléchargées du Google Play avec son outil d’audit de sécurité des applications. Les résultats montrent qu’elles manipulent excessivement les données personnelles des utilisateurs, et ce de manière très peu sécurisée.

Les applis e-commerce manipulent des informations de cartes de crédit pour des raisons évidentes. Mais il apparaît qu’elles collectent également des données personnelles telles que la liste des contacts, les fichiers audio et vidéo et le journal d’appels pour des raisons floues. Pire encore, la manière dont ces données sont traitées s’avère très risquée. Le graphique ci-dessous montre que les applications d’e-commerce collectent et envoient sur le réseau des informations sur la géolocalisation des utilisateurs (66%), leur liste de contacts (58%), leur galerie audio et vidéo (47%) et leur journal d’appels (13%). En outre, il met en évidence la répartition des données personnelles envoyées sur le réseau, via des connexions sécurisées (HTTPS avec un certificat de confiance) ou non sécurisées (HTTP ou certificat non fiable).

Des vulnérabilités de code qui menacent la confidentialité des données

Les applis d’e-commerce les plus utilisées au monde ont une moyenne de 13 vulnérabilités de code par application. Voici les vulnérabilités les plus dangereuses qui ont été découvertes, triées par degré de sévérité, suivi du pourcentage d’applications qui disposent de ces vulnérabilités.

Broadcast-Service: 90%
Cela a pour effet de permettre à toute application tierce de lancer ou de se lier au service. En fonction du rôle du service, cela peut engendrer la fuite de données ou le lancement de tâches non autorisées.

Broadcast-Activity: 89%
Cela a pour effet de permettre à toute application tierce d’accéder aux données potentiellement sensibles partagées par le composant.

Implicit-Intent: 87%
Des informations diffusées en utilisant la méthode de l'”intent” implicite sont susceptibles d’être interceptées par une application tierce malveillante.

Broadcast-Receiver: 84%
Cela a pour effet de permettre à toute application tierce d’envoyer des messages à l’application. Cette faille peut être exploitée pour compromettre l’application, en la détournant de sa tâche première pour la faire exécuter un certain nombre d’actions.

X.509TrustManager: 53%
Implémentation non sécurisée de l’interface X509TrustManager, qui ignore toutes les erreurs de validation du certificat SSL lors de l’établissement d’une connexion en HTTPS à un hôte distant, ce qui a pour effet de rendre l’application vulnérable à une attaque de type Man-in-the-Middle.

Log: 47,4%
Il est risqué de mettre en production une application qui affiche des sorties de log. Une application tierce pourra exécuter une commande et récupérer les logs contenant des informations potentiellement sensibles.

HandleSslError: 21%
L’implémentation ignore tous les messages d’erreurs de validation du certificat SSL, ce qui a pour effet de valider des certificats non-valides. Cela rend l’application vulnérable à une attaque de type Man-in-the-Middle.

PotentiallyByPassSslConnection: 21%
Implémentation non sécurisée contournant la validation du certificat SSL lors de l’établissement d’une connexion en HTTPS à un hôte distant, ce qui a pour effet de rendre l’application vulnérable à une attaque de type Man-in-the-Middle.

URLCanonicalisation: 16%
L’échec de mise en forme canonique d’une URL reçue par l’application peut amener à une attaque de type « vulnérabilité transversale » de répertoire qui peut entraîner la divulgation de données sensibles ou la corruption malveillante de données.

World-Writable 8%
Il ne devrait pas être possible pour d’autres applications d’accéder à ces données, ou qu’elles ne soient accessibles à d’autres programmes ou personnes.