Les apps d'économie d'énergie sont laxistes en matière de protection des données

Le thème de l’économie d'énergie est actuellement sur toutes les lèvres. Depuis que le Conseil fédéral a mis en garde contre la menace d'une pénurie d'énergie cet hiver, les ventes de certains gadgets permettant d'économiser de l'énergie ont depuis lors littéralement explosé. Un phénomène notamment observé par Digitec Galaxus sur la base de ses chiffres de vente. Il peut s'agir aussi bien de minuteurs que de prises connectées permettant par exemple de contrôler à distance le raccordement d'appareils électriques.

Les développeurs d'applications qui aident les utilisateurs de smartphones à monitorer leur consommation d'énergie et à la réduire profitent également de la crise énergétique. Problème: certaines de ces applications laissent à désirer en matière de protection et de sécurité des données, indique une étude d'Appvisory. Dans un communiqué, l'entreprise allemande explique avoir analysé trois des apps d'économie d'énergie les plus populaires. Conclusion: du point de vue de la protection des données, aucune des trois apps ne peut être recommandée.

Accès au microphone et à la localisation

Concrètement, Appvisory a examiné les trois apps EnergieCheck, Energy Buddy et Energy Tracker. La dernière est uniquement disponible pour les smartphones iOS, les deux autres également pour les smartphones Android. Les trois applications permettent, selon leur description, d'enregistrer sa consommation d'énergie. Selon l'application, les utilisateurs saisissent manuellement les données (par exemple du compteur électrique), les photographient sur l'écran d'un instrument de mesure ou scannent la facture du fournisseur d'électricité ou d'eau.

Pour les trois applications, Appvisory critique les autorisations d'accès demandées. Ainsi, EnergieCheck demande l'accès au microphone et à la localisation de l'utilisateur. Deux des trois apps ne fournissent aucune justification plausible pour ces demandes d'accès, note Appvisory, et dans le cas d'EnergieCheck, il manque une justification pour l'accès aux données de localisation. Les trois applications enfreignent sur ce point la politique de l'App Store d'Apple.

Les trois apps contiennent également des outils de suivi et d'analyse qui permettent d'enregistrer le comportement d'utilisation. Appvisory cite par exemple Google Analytics et Google Crashlytic". L'étude souligne tout de même un point positif: EnergieCheck et Energy Buddy n'envoient les données des utilisateurs au fabricant de l'application que sous forme cryptée.

Importantes failles

En ce qui concerne EnergieCheck, les testeurs reprochent en outre à son serveur d'envoyer un nouveau mot de passe en texte clair à l'adresse e-mail enregistrée lors d'une réinitialisation du mot de passe. Comme les e-mails peuvent être interceptés et lus, cette précédure représente un grand risque pour la sécurité des données sensibles. En outre, la version Android de l'application n'est dotée que du mécanisme de signature v1. Selon Appvisory, les pirates pourraient ainsi la modifier en modifiant les mises à jour. La faille en question, appelée «Janus vulnerability», a été découverte en 2017.

Appvisory est en outre parvenu à mener avec succès des attaques Man-In-The-Middle contre Energy Buddy. «Cela signifie que même si la connexion est cryptée, il n'existe aucune mesure permettant de détecter un faux certificat et donc des pirates criminels potentiels», résument les testeurs.

«Pour les apps testées, la prudence est de mise en ce qui concerne la protection et la sécurité des données», conclut Appvisory dans son communiqué. Et de mettre en garde: «Avant de télécharger, il faut absolument vérifier les autorisations demandées et les adapter si nécessaire.»