Introduction

Que se cache-t-il vraiment derrière la dernière appli mobile à la mode ? Est-ce vraiment une killer app ? Sûrement, vu les notes sur le Google Play où l’App Store, mais alors, pourquoi est-elle gratuite ? Que gagnent-ils ? Qui se cache derrière cette app et est-elle sans reproche ?

Avec cet article, j’ai analysé 2 apps de gestion d’ e-mails en remplacement de votre appli native (Android ou iPhone). MyMail et CloudMagic. Je vais vous démontrer que si vous l’avez installée, vous avez certainement fait une belle bêtise, et sinon, vous éviter de l’installer !

Le Contexte

Installer une application mobile c’est très simple. Trop simple… Des utilitaires, des jeux ou encore des widgets. Souvent par effet de mode, ou “parce qu’elle est bien notée”. C’est rapide, 2 ou 3 tapotages plus loin, l’appli est sur notre smartphone.

Qu’on la garde ou qu’on la jette, l’appli est passée par votre smartphone, et le mal est peut-être déjà fait.

En effet, parmi les 2 ou 3 tapotages nécessaires, il y en a un, que bien des personnes ignorent rapidement pour passer à l’installation. Il s’agit des droits requis par l’application.
Parmi ces droits, certains sont anodins et d’autres sont loin de l’être.

Vous arrive-t-il de recevoir des SMS publicitaires, des appels en 0892 qui raccrochent au bout d’une sonnerie vous “invitant” ainsi à rappeler un n° surtaxé ? Ou encore de recevoir d’un coup, beaucoup de SPAM dans votre boite mail ? C’est peut-être l’un des effets de bord les plus utilisés par certaines applications. Mais ceux-ci ne sont peut-être pas les pires…

En effet, récupérer votre n° de téléphone est aisé pour une application, la question est : “Mais pourquoi ce fond d’écran de Justin Bieber a-t-il besoin de voir mon n° de téléphone ?”

Je ne vais pas m’étendre sur les autorisations, mais si vous voulez en savoir plus, cet article détaille très bien les autorisations à surveiller.

Sur ce blog “technique”, je voulais vous donner quelques pistes si vous vouliez savoir ce que fait ou ne fait pas une application.

Pister les requêtes réseaux

La première application que j’ai choisi de pister, est myMail. À l’heure où j’écris ces lignes, elle est plutôt très bien notée. Sur Google Play, elle a 4,4 étoiles sur 5 avec plus de 67000 votes et à peu après la même note sur l’App Store.

Le mieux pour savoir ce que fait réellement une application, est soit de la décompiler (on verra ça plus tard) soit de voir ce qu’elle fait vraiment.

Pour cela, je vous invite à installer l’émulateur Android et si votre PC le permet, n’hésitez pas à suivre les infos pour configurer l’accélération de la machine virtuelle, c’est vraiment plus rapide.

Une fois l’émulateur installé, lancer une VM avec par exemple :

$ANDROID_HOME/tools/emulator -avd Nexus5_intel_442 -qemu -m 2047 -enable-kvm

Puis installer l’application en question (ici, depuis son APK)

Vérifier les droits … hum, ça semble déjà louche

Plus que louche… non ?

Je configure ensuite mon compte (compte de test, sur un serveur mail Alinto de test)

et je lance Wireshark histoire de voir ce qui se passe par le réseau

Chez Alinto, on fait du mail, et le mail, c’est de l’IMAP ou du POP et du SMTP, mais pas du HTTP. Mais bon, admettons.

Les requêtes HTTPS vont vers l’IP “185.30.179.6”… Petite interrogation whois :

$ whois 185.30.179.6
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '185.30.176.0 - 185.30.179.255'

% Abuse contact for '185.30.176.0 - 185.30.179.255' is 'abuse@corp.mail.ru'

inetnum:        185.30.176.0 - 185.30.179.255
netname:        NL-MRG-HOSTING-20130712
descr:          MRG Hosting B.V.
country:        NL
org:            ORG-MHB1-RIPE
admin-c:        MAIL-RU
tech-c:         MAIL-RU
status:         ALLOCATED PA
mnt-by:         RIPE-NCC-HM-MNT
mnt-lower:      MNT-NETBRIDGE
mnt-routes:     MNT-NETBRIDGE
source:         RIPE # Filtered

organisation:   ORG-MHB1-RIPE
org-name:       MRG Hosting B.V.
org-type:       LIR
address:        MRG Hosting B.V.
address:        Pavel Zavyalov
address:        47 Bldg 2, Leningradsky Ave.
address:        125167
address:        Moscow
address:        RUSSIAN FEDERATION
phone:          +74957256357
fax-no:         +74957256359
abuse-c:        MAIL-RU
mnt-ref:        MNT-NETBRIDGE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
source:         RIPE # Filtered

role:           MAIL.RU NOC
address:        Limited liability company Mail.Ru
address:        Leningradskiy prospect, 47, build 2
address:        125167 Moscow Russia
phone:          +7 495 7256357
fax-no:         +7 495 7256359
remarks:        ------------------------------------------
admin-c:        VG659-RIPE
admin-c:        VT1525-RIPE
tech-c:         AKM-RIPE
tech-c:         DBF3-RIPE
tech-c:         IS13
remarks:        -----------------------------------------
remarks:        General questions:      noc@corp.mail.ru
remarks:        Spam & Abuse:           abuse@corp.mail.ru
remarks:        Search Abuse:           search-abuse@corp.mail.ru
remarks:        Routing inquiries:      ncc@corp.mail.ru
remarks:        Peering issues:         ncc@corp.mail.ru
remarks:        -----------------------------------------
remarks:        --------- A T T E N T I O N !!! ---------
remarks:        Please use abuse@corp.mail.ru e-mail
remarks:        address for spam and abuse complaints.
remarks:        Mails for other addresses will be ignored!
remarks:        -----------------------------------------
mnt-by:         MNT-NETBRIDGE
abuse-mailbox:  abuse@corp.mail.ru
nic-hdl:        MAIL-RU
source:         RIPE # Filtered

% Information related to '185.30.176.0/22AS60476'

route:          185.30.176.0/22
descr:          MY.COM
origin:         AS60476
mnt-by:         MNT-NETBRIDGE
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.76.1 (DB-4)

Tiens donc, en Russie… ben pourquoi pas ?

Pour finir la boucle, puisque j’ai mis un serveur de mail de test chez nous je lance un petit network grep pour m’assurer du fonctionnement :

# ngrep "" port 143 or port 25 or port 587
interface: eth0 (31.172.161.0/255.255.255.0)
filter: ( port 143 or port 25 or port 587 ) and (ip or ip6)
#
T 31.172.161.82:143 -> 185.30.176.120:49668 [AP]
  * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN AUTH=CRAM-MD5] Dovecot ready...                                                                     ##
T 185.30.176.120:49668 -> 31.172.161.82:143 [AP]
  1 LOGIN testmymail@next.alinto.org "*********"..                                                               ##
T 31.172.161.82:143 -> 185.30.176.120:49668 [AP]
  1 OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS THREAD=ORDEREDSUBJECT MULTIAPPEND UNSELECT CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRE
  SYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS SPECIAL-USE QUOTA ACL RIGHTS=texk] Logged in..

Je confirme ce que je pensais:

1. L’application mobile envoi les informations à un serveur Web en HTTPS (c’est déjà ça)
2. Un autre de ces serveurs-là, fait les requêtes en IMAP sur le serveur de messagerie. (En réalité, myMail fait de l’IMAPS mais je l’ai désactivé pour avoir une trace plus lisible).
3. Le serveur (en Russie) analyse les mails et la boîte mail en général
4. L’application mobile récupère les informations depuis le serveur Russe

Techniquement, ça a un sens, car faire du HTTP pour une app mobile, c’est plus facile et plus portable (iPhone/Android), par contre, ce qui me chagrine plus, c’est que je viens de donner à une boîte basée en Russie, toutes mes informations personnelles parmi lesquelles :

• Mon n°de téléphone,
• L’autorisation de lire et de modifier des tas d’informations personnelles
• Mon adresse e-mail
• et surtout mon MOT DE PASSE de messagerie ….

Ben oui, sinon, comment pourraient-ils se connecter en IMAP depuis un autre serveur ? hein ? (cf. le ngrep plus haut, et pour info, j’ai remplacé le mot de passe par “******” moi-même)

And, “last but not least”, les requêtes IMAP continuent d’arriver sur le serveur mail, après avoir désinstallé l’application mobile et avoir éteint mon émulateur Android … étrange non ?

Un autre exemple ?

J’ai choisi une autre application un peu au hasard, mais avec une bonne note quand même (4,5/5 pour 55000 votes). Il s’agit de CloudMagic.

Le fonctionnement est exactement basé sur le même principe, à l’exception que les requêtes passent par des serveurs du Cloud AWS d’Amazon.

J’ai aussi testé Blue Mail. Idem que CloudMagic, utilise Amazon et conserve vos identifiants.

SolMail, quant à lui fait vraiment de l’IMAP. Il ne conservent donc pas forcément vos identifiants, même si y a des communications avec leur serveurs, les mails ne transitent pas par eux.

Mais alors ? sont-elles toutes “véreuses” ?

En plus de l’application native d’Android, K9-Mail est un projet Open Source qui fait réellement de l’IMAP, je vous la conseille.

Conclusion

Nous venons de voir en quelques minutes les pièges d’une appli Android comme myMail. Certaines des applications mobiles les mieux notées, sont en réalité, des “pièges” à informations personnelles.

Je ne connais pas ces entreprises, mais ce que je sais, c’est que beaucoup d’informations personnelles (ou professionnelles) sont entre leurs mains. Certains d’entre nous “craignent” la puissance d’un Google où des multinationales américaines… Mais en utilisant une app comme myMail, grand nombre de personnes confient autant voir plus d’informations à d’autres entreprises, y compris des entreprises Russes.

Que font-elles de ces informations ? Je n’en sais rien. En tout cas, techniquement, je pense qu’elles ont toutes les billes en main pour faire ce qu’elles veulent.

Par exemple :

• Ils ont déjà une belle base d’utilisateurs et de données marketing (pour du mailing par exemple, entre 1 million et 5 millions de téléchargement, rien que sur Google Play)
• Marketing ciblé, puisque le contenu des mails est sur leurs serveurs, ils peuvent les analyser tranquillement…
• Ils peuvent également vous spammer en évitant votre antispam, en déposant le mail directement en IMAP !
• Ils connaissent pratiquement tout de votre vie, et peuvent agir en votre nom (cf. les autorisations)
• Ils ont toutes les billes pour de l’espionnage en tous genres, y compris espionnage industriel. J’espère que peu de personnes renseignent leurs boîtes mail professionnelles…

Voilà, si j’ai pu vous aider à ouvrir les yeux, je serais ravi. Et si par hasard, vous aviez installé une de ces applis, je vous conseille au minimum de changer de mot de passe, c’est un moindre mal et bien évidemment, de la désinstaller … hein 😉