Un code de collecte de données dans des applications mobiles envoie les données des utilisateurs à la société russe Yandex,

Plus de 52 000 applications Android et iOS seraient concernées

Yandex, la plus grande société Internet de Russie, aurait intégré dans les applications pour smartphones un code qui permet d'envoyer des informations sur des millions d'utilisateurs à des serveurs situés dans son pays d'origine. Le code serait dissimulé dans son SDK (kit de développement logiciel) AppMetrica qui permet aux développeurs de créer des applications pour les appareils fonctionnant sous iOS et Android. La révélation a suscité des inquiétudes quant à la sécurité des données, car la législation russe pourrait obliger la société à mettre ces données à la disposition du gouvernement russe.

Yandex, également appelé "Google russe", développe et distribue le SDK "AppMetrica". Les développeurs l'utilisent ensuite pour créer de nombreux types d'applications telles que les jeux, les applications de messagerie, les applications VPN, etc. Mais il est apparu récemment que AppMetrica dissimule un code permettant à Yandex de collecter discrètement les données personnelles des utilisateurs des applications qui l'intègrent. La découverte a été faite pour la première fois par le chercheur Zach Edwards dans le cadre d'une campagne d'audit des applications pour Me2B Alliance, une organisation à but non lucratif.

D'autres experts auraient ensuite confirmé l'existence d'un tel code dans le SDK. Yandex a reconnu que son SDK collecte des informations sur les "appareils, les réseaux et les adresses IP" qui sont stockées "à la fois en Finlande et en Russie", mais la société a qualifié ces données de "non personnalisées et très limitées". Elle a ajouté : « bien que cela soit théoriquement possible, dans la pratique, il est extrêmement difficile d'identifier les utilisateurs en se basant uniquement sur ces informations collectées. Yandex ne peut absolument pas le faire ». Pour Yandex, "AppMetrica n'est pas une menace pour les utilisateurs".


Le géant technologique russe a ajouté qu'AppMetrica fonctionne comme n'importe quel autre outil. Ces révélations interviennent à un moment critique pour Yandex qui tente depuis longtemps de tracer une voie indépendante sans s'attirer les foudres du président russe Vladimir Poutine, qui souhaite un contrôle accru d'Internet. La société a déclaré qu'elle suivait un processus interne "très strict" dans ses relations avec les gouvernements. Elle souligne : « toutes les demandes qui ne respectent pas toutes les exigences procédurales et juridiques pertinentes sont rejetées ». Mais ces explications ne suffisent pas pour convaincre les critiques.

Cher Scarlett, anciennement ingénieur logiciel principal en sécurité mondiale chez Apple, a déclaré qu'une fois les données des utilisateurs collectées sur les serveurs russes, Yandex pourrait être obligé de les soumettre au gouvernement en vertu des lois locales. D'autres experts ont déclaré que les métadonnées du type de celles collectées par Yandex pourraient être utilisées pour identifier les utilisateurs. Ron Wyden, président de la commission des finances du Sénat américain, a vivement critiqué Google et Apple pour ne pas avoir fait suffisamment d'efforts afin de protéger les smartphones contre le logiciel Yandex.

AppMetrica aurait trouvé sa place dans 52 000 applications touchant des centaines de millions de consommateurs. « Ces applications s'emparent des données privées et sensibles des applications présentes sur votre téléphone, menaçant ainsi la sécurité nationale américaine et la vie privée des Américains et d'autres personnes dans le monde », a-t-il déclaré. Yandex, également considéré comme un géant mondial de la technologie, est coté à la Bourse de New York et détenu majoritairement par des fonds américains. Il est constitué en société à Amsterdam, et selon certains rapports, son fondateur Arkady Volozh vivrait en Israël.

En 2019, la société aurait conclu un accord avec le gouvernement russe, codifiant une structure qui garantit que Moscou peut intervenir sur certaines questions telles que les acquisitions étrangères, sans contrôle des opérations quotidiennes. En outre, l'invasion russe en Ukraine aurait brisé ses ambitions internationales, fait chuter son cours en bourse et amené certains partenaires occidentaux à couper les ponts. Le directeur exécutif de la société, Tigran Khudaverdyan, aurait démissionné la semaine dernière après avoir été visé par les sanctions...