Une fausse application, par Canary Token pour envoyer des alertes
Hier, Canary Token a proposé une nouvelle fonctionnalité : une fausse application pour son smartphone.
Sommaire
Une alerte en cas de danger
L’idée est assez simple : si quelqu’un d’autre que vous utilise votre téléphone, s’il touche l’application, vous ou quelqu’un d’autre recevrez une alerte.
Sur sa page de blog, l’entreprise explique : « Des journalistes qui se font lire leurs notes de terrain aux PDG et présidents qui se font pirater leurs téléphones, en passant par le fléau plus répandu de la violence conjugale, de plus en plus de personnes deviennent la cible de piratages mobiles. Plus près de chez nous, avec notre dépendance aux applications pour toutes nos opérations bancaires et financières, sauriez-vous si quelqu’un se connectait à votre application bancaire à votre insu ? »
L’idée n’est pas mal et ça tombe bien, j’avais un téléphone totalement neuf et presque vierge sous la main. Pourquoi ne pas tester ?
Le test de la fausse application de Canary Token
La création de l’application est à la portée de tous les débutants : il suffit d’aller sur le site — même sur mobile — de chercher « fake » dans la barre de recherche.
Puis, vous choisissez une application au hasard. Ici, j’ai pris Zapper, en sachant pertinemment que je n’utiliserai pas cette application dans le futur.
Une nouvelle page s’ouvre pour télécharger l’application. La sécurité du téléphone ne s’est pas émue et le téléphone n’est pas jailbreaké.
L’application apparaît sur mon écran.
J’ai cliqué dessus. L’application tourne en boucle, en disant « connexion… »
Mais, au même moment, j’ai bien reçu une alerte sur l’adresse email que j’avais donnée, reprenant les informations importantes, dont la géolocalisation.
L’intérêt de l’application
Sur mon téléphone principal, j’ai une application de secours, qui va avec un abonnement autre, donc dans mon cas bien précis, ce type de service n’a pas d’intérêt. Mais, comme le disent les créateurs, en cas de danger immédiat ou imminent, notamment de violences conjugales, avoir cette application peut aider.
En effet, il suffit de toucher l’application pour que le mail parte immédiatement.
Vous disposez également d’un historique des accès.
Des tests plus poussés nécessaires
La question qui reste en suspens dans ce premier test, très rudimentaire, est de savoir si quelqu’un qui aurait installé une application espion sur le téléphone et qui voudrait voir ce qu’il contient déclenche ou non l’alerte.
La plupart des applications qui permettraient de s’en rendre compte sont des applications de contrôle parental, toutes payantes. Quant aux véritables spywares, la plupart nécessitent un jailbreak du téléphone. Je n’étais pas emballée outre mesure à l’idée de jailbreaker mon nouveau téléphone.
Il faudrait aussi savoir si, en cas de restauration totale de l’appareil, une alerte quelconque est envoyée. La question peut avoir un intérêt en cas de vol de l’appareil.
Une fausse application à la portée de tout le monde
Cette partie demande donc des investigations plus poussées. Néanmoins, le système proposé a un très gros avantage : il est très simple à mettre en place. Or, une partie de la population souffre d’illectronisme, c’est-à-dire d’une absence de maîtrise des outils informatiques. Cela peut concerner les victimes de violences conjugales, mais, contrairement à une légende bien établie, les cadres supérieures et les professions intellectuelles ne sont pas épargnées. Beaucoup sont totalement démunis devant un ordinateur et finalement, encore plus devant un smartphone.
Certains esprits chagrins diront qu’une telle application n’a pas de sens à l’heure des SMS et autres messages courts. Sauf qu’en fonction du danger, tout le monde ne peut pas envoyer de SMS ni de géolocalisation. Comme on peut le voir avec l’email envoyé, il y a la géolocalisation exacte avec un renvoi vers Google Maps ou Apple Maps.
C’est donc une initiative plutôt intéressante à suivre.