Bon nombre de solutions répandues de contrôle parental n’offrent pas la sécurité voulue, indique une nouvelle étude de l’Université Concordia
Depuis le printemps, les parents permettent souvent aux enfants de passer plus de temps devant leur écran en raison de la pandémie, ce qui, en soi, n’est pas nécessairement mauvais, mais une nouvelle étude menée par des étudiants et professeurs de Concordia révèle que les enfants peuvent eux aussi être victimes d’espionnage, même de la part de produits affirmant les protéger.
En fait, ils les rendent encore plus vulnérables. Comme le précisent les chercheuses et chercheurs dans l’article qu’ils présenteront à la conférence annuelle sur les applications de sécurité informatique la semaine prochaine, plusieurs solutions de contrôle parental offertes sur le marché présentent des lacunes sur le plan de la sécurité.
L’équipe de recherche a élaboré des cadres expérimentaux en vue d’évaluer de façon systématique les aspects sécurité et respect de la vie privée de dizaines de solutions de contrôle parental distinctes, notamment des dispositifs de connectivité des réseaux comme les routeurs, ainsi que des applications courantes de Windows, des extensions de Chrome et des applications Android. Elle a découvert que la plupart de ces solutions soulèvent des problèmes liés à la sécurité des renseignements personnels, aux protocoles d’authentification sécurisés et à la présence de traceurs connus ou de tiers.
« J’envisageais moi-même d’installer certains de ces outils sur les appareils de mes enfants, explique Suzan Ali, étudiante à la maîtrise à l’Institut d’ingénierie des systèmes d’information de l’Université Concordia (CIISE) de l’École de génie et d’informatique Gina-Cody et auteure principale de l’article. J’ai été très surprise de constater que bon nombre d’entre eux ne savent pas protéger les renseignements personnels qu’ils recueillent sur les enfants et les parents ou permettent à un adversaire de prendre les rênes d’une solution de contrôle parental. »
Parmi les coauteurs de l’article figurent Mounir Elgharabawy et Quentin Duchaussoy, étudiants à la maîtrise au CIISE, Mohammad Mannan, professeur agrégé, et Amr Youssef, professeur au CIISE.
Suzan Ali : « La sécurité des comptes parentaux dans ces solutions est souvent compromise de multiples façons. »
Lacunes
L’équipe de recherche a observé de nombreux problèmes touchant les produits pour ordinateurs et appareils mobiles, les extensions de navigateurs et les dispositifs de connectivité des réseaux, notamment des politiques laxistes en matière de mots de passe, une communication non sécurisée avec le système dorsal et le stockage de données non protégées.
En particulier, ils ont relevé les lacunes suivantes :
Le routeur avec contrôle parental Blocksi s’est avéré particulièrement vulnérable aux micrologiciels malveillants téléversés. Le serveur Dropbear du routeur KoalaSafe peut également faire l’objet d’une exploitation malveillante à l’extérieur d’un réseau local.
Plusieurs applications Android – FamiSafe, KidsPlace et Life360 – ne chiffrent pas les données personnelles sur les espaces de stockage externe partagés, ce qui signifie que d’autres applications peuvent accéder à l’adresse électronique, au numéro d’identification personnel et aux numéros de téléphone d’un parent ou même à la position géographique d’un enfant. D’autres produits, qui supposent le recours à des navigateurs personnalisés pour restreindre et filtrer le contenu Web, ne suivent pas les politiques de sécurité de base comme HSTS.
Enfin, les applications Windows Qustodio et Dr. Web utilisent des serveurs mandataires qui ne valident pas correctement les certificats si bien qu’ils acceptent les certificats révoqués. Quant aux extensions de Chrome Adult Blocker et MateCode Blocker, elles téléchargent et exécutent des scripts de traçage de tiers qui servent souvent de camouflage pour les scripts malveillants.
M. Mannan estime que les lacunes en matière de sécurité résultent habituellement d’une mauvaise conception, mais que les atteintes à la vie privée sont vraisemblablement délibérées.
« En réalité, les développeurs acheminent des données personnelles et confidentielles à des fournisseurs tiers et à des traceurs de tiers dont la seule fonction est de recueillir de l’information et de la monétiser. La personne qui achète le produit ne sait pas même pas qui sont ces tiers. », précise-t-il.
Réponses insatisfaisantes
Les chercheurs ont communiqué avec les entreprises dont les produits étaient lacunaires. Quelques-unes ont semblé prendre les choses au sérieux, tandis que d’autres ont promis, avec une réponse toute faite, qu’elles se pencheraient sur ces questions. Certaines ne se sont même pas donné la peine de répondre.
« Le fournisseur devrait s’efforcer de sécuriser les solutions en effectuant des vérifications de sécurité périodiques et en adoptant un processus bien défini pour résoudre les vulnérabilités, par exemple un programme de divulgation responsable ou de primes de bogues », indique Mme Ali.
L’équipe de recherche recommande aux parents d’utiliser les mesures de protection intégrées aux systèmes d’exploitation : elles sont élémentaires, mais efficaces.
« De manière générale, nous avons constaté que plus la solution est compliquée et plus elle comporte d’accessoires, plus elle s’empare de données. »
Cette étude a été financée en partie par le Programme des contributions du Commissariat à la protection de la vie privée du Canada.
Lisez l’article cité : « Betrayed by the Guardian: Security and Privacy Risks of Parental Control Solutions. »