Étude Cybernews : Booking.com est l’une des applications la plus gourmande en données, parmi d’autres

De Booking.com à Airbnb, de Hilton à Radisson, chaque application de voyage que vous utiliserez pour vos prochaines vacances essaiera de puiser dans vos données. Une enquête menée par les chercheurs de Cybernews a révélé que certaines ne vous informeront même pas des secrets qu’elles extraient de vous. Selon les données présentées par les chercheurs, Booking.com, MakeMyTrip et HotelTonight sont les véritables « champions » de la collecte de données.

Selon l’enquête, la moitié des 22 applications d’hospitalité et de planification de vacances largement utilisées, y compris Booking.com, n’informeront pas les clients qu’elles collectent leurs données de localisation. Certaines applications peuvent simplement lire les messages SMS des utilisateurs, accéder à la caméra et au microphone, et lire les fichiers. Certaines des applications testées peuvent même passer un appel au nom de l’utilisateur. « Une application bien conçue ne devrait demander que les autorisations essentielles à son fonctionnement, donc les utilisateurs doivent toujours faire preuve de prudence lorsqu’ils accordent des autorisations aux applications et les examiner attentivement. Les applications demandant des autorisations sensibles, en particulier celles liées aux fichiers système et à la configuration de l’appareil, sont des signaux d’alarme suggérant potentiellement une intention malveillante ou un mauvais design de code », a déclaré Mantas Kasiliauskis, chercheur en sécurité chez Cybernews.

Toutes les applications ont accès à une localisation précise

L’enquête montre que toutes les applications testées par les chercheurs avaient accès à la localisation précise et exacte de l’utilisateur, y compris les coordonnées de latitude et de longitude. Malheureusement, beaucoup d’entre elles ont décidé de garder cette information secrète. Booking.com, Agoda, Momondo, Hilton Honors et six autres applications ne divulguent pas la collecte de données liées à la localisation.

Les applications de voyage demandent fréquemment l’accès aux localisations précises des utilisateurs pour offrir de meilleurs services. Cependant, accorder cet accès permettra à ces applications de suivre vos déplacements et de savoir où vous vivez et travaillez.

Une douzaine d’applications ont accès à votre caméra

14 des 22 applications de voyage testées ont accès à la caméra de l’appareil pour prendre des photos, enregistrer des vidéos et effectuer des appels vidéo. Une application pourrait potentiellement le faire sans le consentement de l’utilisateur, compromettant ainsi la vie privée et la sécurité de l’utilisateur.

Dix applications n’ont pas révélé la collecte de données liées à la caméra sur le Google Play Store. Agoda, Marriott Bonvoy, Radisson Hotels, Trip.com, Momondo, et d’autres en font partie. Celles qui l’ont divulgué ont indiqué que cette autorisation était principalement nécessaire pour la « fonctionnalité de l’application » et les « analyses ». Booking.com, Tripadvisor, MakeMyTrip, HostelWorld et HotelTonight déclarent collecter des données liées à la caméra.

Certaines applications connaissent vos numéros de téléphone et IMEI

Selon la recherche, certaines applications de voyage ont des accès particulièrement risqués qui leur permettent de lire l’état du téléphone, ce qui pourrait leur permettre d’identifier l’utilisateur et l’appareil. Booking.com, Expedia, Hilton Honors, Hotels.com, Hotwire, Trip.com et d’autres applications ont la permission de lire l’état du téléphone.

Cette autorisation permet l’extraction de divers identifiants utilisateur, tels que l’Identité Internationale d’Équipement Mobile (IMEI), l’Identité Internationale d’Abonné Mobile (IMSI), le numéro de téléphone, le numéro de série de l’appareil et l’identifiant unique de la carte SIM. Une préoccupation majeure est que les applications de réservation d’hôtels et de locations n’ont aucune raison légitime de demander de telles autorisations aux utilisateurs, car elles n’en ont pas besoin pour fonctionner correctement.

L’application MakeMyTrip peut lire vos messages SMS

La recherche a révélé que MakeMyTrip, une application populaire en Inde avec plus de 50 millions de téléchargements pour réserver des hôtels, des vols et des transports, peut lire les messages SMS stockés sur l’appareil. Cela inclut des informations sur l’expéditeur et le destinataire ainsi que les dates des messages.

HotelTonight peut manipuler les systèmes de fichiers

Une application de réservation d’hébergement détenue par Airbnb, HotelTonight, demande aux utilisateurs l’accès pour monter et démonter les systèmes de fichiers sur l’appareil.

Un système de fichiers est une partie intégrante d’un système d’exploitation (OS). Il organise les fichiers et les répertoires, suit leurs emplacements et maintient les métadonnées des fichiers, assurant une récupération et un stockage efficaces des données. L’autorisation découverte permet à l’application de manipuler et de modifier les fichiers au niveau du système, ce qui peut entraîner des risques de sécurité graves.

Hilton peut contrôler les dialogues ouverts sur votre appareil

L’application Hilton Honors a la permission d’accéder aux composants système de l’appareil. Cette autorisation permet à une application de demander au système de fermer tous les dialogues système ouverts, y compris les composants critiques de l’interface utilisateur (UI) tels que la notification, l’écran des applications récentes et le dialogue de mise hors tension.

Bien que cette autorisation soit principalement utilisée par le système de l’appareil, une mauvaise gestion de celle-ci pourrait entraîner la fermeture forcée des dialogues système par l’application et interférer avec le fonctionnement régulier de l’interface utilisateur de l’appareil.

Un géant chinois peut changer les langues et modifier les paramètres

L’application Trip.com, avec plus de 10 millions de téléchargements, peut modifier les paramètres et la configuration du système de l’appareil. Cette application a potentiellement le droit de manipuler la configuration de l’appareil, comme changer la langue, l’orientation de l’écran, la disposition du clavier et d’autres paramètres de l’appareil. Elle permet à l’application de modifier les paramètres système tels que le WiFi, le Bluetooth, le son ou l’affichage.

Quatorze applications de voyage peuvent lire vos fichiers

Quatorze applications de voyage avaient les moyens de lire et écrire sur le stockage externe, tandis que Hopper pouvait uniquement lire les fichiers stockés sur l’appareil. Seules trois applications (Booking.com, MakeMyTrip et HotelTonight) sont transparentes quant à la collecte des « fichiers et documents ». En même temps, les autres, telles que Tripadvisor, Agoda, Hotels.com, Trip.com et d’autres, ont décidé de rester silencieuses sur le droit de collecter des données liées aux fichiers.

La permission d’accéder au stockage d’un appareil est sensible car elle permet à une application d’accéder, d’écrire, de modifier ou de supprimer des données sur le stockage externe, y compris une carte SD et d’autres supports externes. L’accès au stockage d’un appareil peut également inclure des fichiers utilisateur, tels que des photos, des vidéos, des documents et d’autres informations confidentielles.

Certaines applications ont accès à votre microphone et peuvent passer des appels en votre nom

Trois des vingt-deux applications de voyage testées – Hotwire, Trip.com et MakeMyTrip – ont la permission d’accéder au microphone de l’appareil et d’enregistrer les entrées audio.

Trip.com a divulgué sur le Play Store qu’elle collecte des enregistrements vocaux et sonores. En revanche, MakeMyTrip et Hotwire ne divulguent pas la collecte de données liées à l’audio, mais l’autorisation d’accéder au microphone est intégrée dans leurs applications. Booking.com déclare sur le Play Store qu’elle collecte des données liées à l’audio.

Ces applications savent qui est dans votre liste de contacts

L’autorisation a été trouvée sur trois applications de voyage – MakeMyTrip, Hilton Honors et Hopper – permettant aux utilisateurs de lire les listes de contacts de l’appareil. Cela est très préoccupant, car les applications de voyage n’ont pas besoin d’accéder aux contacts des utilisateurs pour organiser les voyages des clients. MakeMyTrip est transparente, tandis que les développeurs de Hilton Honors et de Hopper ne divulguent pas la collecte de données liées aux contacts.