Kirill Kudryavtsev | Getty Images
La plus grande société Internet de Russie a intégré du code dans des applications trouvées sur des appareils mobiles qui permet d’envoyer des informations sur des millions d’utilisateurs à des serveurs situés dans son pays d’origine.
La révélation concerne un logiciel créé par Yandex qui permet aux développeurs de créer des applications pour les appareils exécutant iOS d’Apple et Android de Google, des systèmes qui exécutent la grande majorité des smartphones du monde.
Yandex collecte les données des utilisateurs collectées à partir des téléphones mobiles avant d’envoyer les informations à des serveurs en Russie. Les chercheurs ont fait part de leurs inquiétudes quant au fait que les mêmes “métadonnées” pourraient ensuite être consultées par le Kremlin et utilisées pour suivre les personnes via leurs téléphones portables.
Le chercheur Zach Edwards a fait la découverte du code de Yandex dans le cadre d’une campagne d’audit d’applications pour Me2B Alliance, une organisation à but non lucratif. Quatre experts indépendants ont effectué des tests pour le Financial Times afin de vérifier son travail.
Yandex a reconnu que son logiciel collecte des informations sur “l’appareil, le réseau et l’adresse IP” qui sont stockées “à la fois en Finlande et en Russie”, mais il a qualifié ces données de “non personnalisées et très limitées”. Il a ajouté : “Bien que théoriquement possible, il est en pratique extrêmement difficile d’identifier les utilisateurs uniquement sur la base des informations collectées. Yandex ne peut certainement pas faire cela.
Publicité
Ces révélations surviennent à un moment critique pour Yandex, souvent surnommé « Google de la Russie », qui tente depuis longtemps de tracer une voie indépendante sans se heurter au désir du président russe Vladimir Poutine de mieux contrôler Internet.
La société a déclaré avoir suivi un processus interne “très strict” lorsqu’elle traitait avec les gouvernements : “Toute demande qui ne respecte pas toutes les exigences procédurales et légales pertinentes est rejetée”.
Mais Cher Scarlett, anciennement ingénieur logiciel principal en sécurité mondiale chez Apple, a déclaré qu’une fois les informations des utilisateurs collectées sur les serveurs russes, Yandex pourrait être obligé de les soumettre au gouvernement en vertu des lois locales. D’autres experts ont déclaré que les métadonnées du type collectées par Yandex pourraient être utilisées pour identifier les utilisateurs.
Ron Wyden, président de la commission des finances du Sénat américain et l’un des architectes de la réglementation américaine de l’Internet, a vivement critiqué Google et Apple pour ne pas en faire assez pour sécuriser les smartphones du logiciel Yandex, qui a trouvé son chemin sur 52 000 applications atteignant des centaines de millions de personnes. consommateurs.
“Ces applications extraient des données privées et sensibles des applications de votre téléphone, menaçant la sécurité nationale des États-Unis et la vie privée des Américains et d’autres personnes dans le monde”, a-t-il déclaré.
Yandex est considéré comme un géant mondial de la technologie et est coté à la Bourse de New York et détenu majoritairement par des fonds américains. Il est incorporé à Amsterdam et le fondateur Arkady Volozh vit en Israël. En 2019, la société a conclu un accord avec le gouvernement russe, codifiant une structure qui garantit que Moscou peut intervenir sur certaines questions telles que les acquisitions étrangères sans contrôle des opérations quotidiennes.