Black smartphone with blank screen and wireless earphones isolated on yellow and blue background. Clipping path.

Clubhouse, l’appli où les pirates n’ont pas besoin d’invitation pour recueillir vos données

Clubhouse est un nouveau genre de réseau social basé sur l’audio, qui a considérablement gagné en popularité ces derniers temps. C’est devenu la nouvelle appli à la mode et pour cause : elle donne aux utilisateurs la rare chance – aussi virtuelle soit-elle – de pouvoir approcher des personnalités riches et célèbres, comme Elon Musk, Drake, Oprah Winfrey ou encore Kevin Hart.

C’est une application sur invitation uniquement qui n’est pour l’instant disponible qu’aux utilisateurs iOS, un caractère exclusif qui donne à tout le monde envie d’en faire partie. Les utilisateurs peuvent communiquer en privé ou sur des chaînes publiques et discuter sur de nombreux sujets. La dimension sociale est également très présente : les utilisateurs peuvent s’abonner les uns aux autres et Clubhouse encourage évidemment la création et l’expansion de ces réseaux.

Mais outre sa popularité soudaine, la plateforme fait face à de gros problèmes, à savoir la confidentialité et la sécurité des données personnelles. En plus de cela, l’engouement des utilisateurs pour cette application est exploité par les cybercriminels dans de nouvelles activités malveillantes. Passons en revue chacun de ces problèmes et voyons en quoi la sécurité et la confidentialité des utilisateurs sont compromises sur Clubhouse.

Les protocoles de sécurité et de confidentialité n’ont, eux, pas été invités au club

La plupart des gens ne font pas attention à la politique de confidentialité d’une plateforme, pourtant ils seraient bien avisés de le faire, car certaines d’entre elles peuvent ouvertement enfreindre les droits des utilisateurs. Clubhouse, par exemple, ne respecte même pas les principes fondamentaux des lois européennes et contrevient à la plupart des exigences légales en matière de confidentialité et de données, et ce dès que les utilisateurs commencent à se servir de leur plateforme. Ces manquements ont été soulignés par Alexander Hanff, défenseur de la protection des données et cofondateur de SynData AB, dans un post LinkedIn sur Clubhouse.

Le premier élément du moteur de recommandation d’utilisateurs de Clubhouse est basé sur l’accès aux contacts de l’utilisateur. Vous ne pouvez inviter personne sur la plateforme si vous n’accordez pas l’accès à vos contacts. Si vous accordez cet accès à vos contacts, Clubhouse vous indiquera qui de vos contacts l’utilise aussi. Elle vous incitera également à inviter les personnes qui ne l’ont pas encore et vous alertera dès qu’un de vos contacts a rejoint l’application.

Pire encore, votre confidentialité sur Clubhouse dépend non seulement de ce que vous faites, mais de ce que font les autres, quand vous faites partie de leurs contacts. Pour le moment, vous ne pouvez être invité(e) sur Clubhouse que par votre numéro de téléphone, qui est relié à votre compte et ne peut être supprimé. Si quelqu’un a votre numéro de téléphone et qu’il/elle a donné accès à ses contacts à Clubhouse, il/elle recevra une notification lorsque vous rejoignez l’application ainsi qu’une recommandation de s’abonner à votre compte.

Si vous voulez profiter de l’authentification unique (Single Sign-On), en utilisant vos identifiants sur Twitter ou un autre compte de média social pour vous connecter à Clubhouse, l’application aura aussi accès à tous vos contacts, contenus et informations de cet autre média social. Toutes ces demandes d’autorisation enfreignent les exigences du RGPD, la réglementation européenne sur la protection des données et la confidentialité.

Le RGPD aborde également le transfert de données personnelles en dehors de l’UE et de l’Espace économique européen, un autre problème pour Clubhouse. Au cas où vous vous demanderiez ce qu’il advient de vos données une fois recueillies par Clubhouse – et cela devrait vous traverser l’esprit – sachez que toutes vos données seront transférées aux États-Unis, sans base juridique valable, sans protection légale requise pour le transfert de données dans un pays tiers sans décision d’adéquation.

Ce mois-ci, les régulateurs en Allemagne et en Italie ont demandé publiquement si les pratiques de Clubhouse respectaient les lois européennes sur la protection des données, d’après le New York Times.

De plus, Klaus Muller, directeur de la fédération allemande des organisations de défense des consommateurs a mis en garde Clubhouse contre de potentielles sanctions en raison des problèmes de confidentialité des données, en prenant à partie l’entreprise sur Twitter (traduction depuis l’allemand) : « De sérieux manquements en #protection des données, des #CGV uniquement disponibles en anglais, pas de mention légale : ces points sont signalés par @vzbv dans son #avertissement aux opérateurs de #Clubhouse et l’organisation demande l’envoi d’une ordonnance de cessation et d’abstention ainsi que des sanctions pénales. »

Les conversations ne sont pas chiffrées de bout en bout

Si vous consultez leur politique de confidentialité, celle-ci stipule que (traduction depuis l’anglais) : « Uniquement dans le but d’étayer les enquêtes liées à des incidents, nous enregistrons temporairement l’audio des salles pendant que celles-ci sont en cours. Si un utilisateur signale une violation à l’équipe Confiance et sécurité, alors que la salle existe encore, nous conservons l’audio pour enquêter sur l’incident, puis nous supprimons l’audio lorsque l’enquête est close. Si aucun incident n’est signalé dans une salle, nous supprimons l’enregistrement audio temporaire lorsque la salle est fermée. »

En d’autres termes, le contenu audio est supprimé dès la fermeture d’une salle, à moins qu’il n’y ait une enquête sur un incident. Cela signifie que le contenu n’est pas chiffré de bout en bout, pour qu’il puisse être enregistré, ce qui est contraire aux règles imposées par la directive européenne ePrivacy (2002/58/EC). La loi européenne stipule que la confidentialité des communications est requise et que l’interception de ces communications ne peut avoir lieu légalement que si les parties concernées par la communication y consentent.

Profilage et graphes sociaux

Nul besoin de connaître les conditions et clauses légales pour comprendre les manquements de Clubhouse en matière de données utilisateurs. Outre le fait que l’application enregistre les conversations, elle « recueille le contenu, les communications et d’autres informations fournies par vous, y compris lorsque vous créez un compte, créez ou partagez du contenu et envoyez des messages aux autresִ », comme le stipule la politique de confidentialité. L’application « peut également choisir de recueillir des informations sur votre façon d’utiliser le Service, comme les types de conversations auxquelles vous participez, le contenu que vous partagez, les fonctions que vous utilisez, les actions que vous faites, les gens ou les comptes avec lesquels vous interagissez et l’heure, la fréquence et la durée de votre utilisation. » Cependant rien n’est dit sur la manière dont l’entreprise utilise ces informations ni à quelles fins.

Les utilisateurs de Clubhouse, complices malgré eux d’une violation de la protection des données

Clubhouse est une très mauvaise idée pour les utilisateurs particuliers et ce, pour plusieurs raisons. Premièrement, l’application enfreint plusieurs exigences légales sur la confidentialité des données. Deuxièmement, elle demande aux utilisateurs d’enfreindre la loi en fournissant l’accès à leur carnet d’adresses pour inviter leurs amis à utiliser la plateforme, y compris les numéros de téléphone.

Selon les lois européennes, vous devez avoir le consentement de votre ami(e) pour pouvoir partager ses données personnelles avec une tierce partie à vocation commerciale. De même, une entreprise ne peut pas utiliser les données personnelles fournies par un tiers (dans ce cas-ci, l’utilisateur) si ces données n’ont pas été fournies de manière légale. Comme mentionné ci-dessus, la divulgation de données personnelles sans le consentement est illégale.

Ajoutez à cela le fait que Clubhouse crée de la demande en limitant les inscriptions d’utilisateurs. Le seul moyen de s’inscrire à la plateforme aujourd’hui est d’être invité(e) par un utilisateur existant. En d’autres termes, le seul moyen pour vous de vous inscrire est que vos données personnelles soient illégalement partagées par votre « ami(e) ».

L’engouement des utilisateurs pour Clubhouse, exploité par les cybercriminels

Au-delà des problèmes de confidentialité et de sécurité, l’engouement des utilisateurs pour cette plateforme sociale peut être exploité par les cybercriminels, qui peuvent monétiser la vente de fausses invitations et de fausses applications pour Android, installer du code malveillant sur les appareils des utilisateurs ou enregistrer les conversations, car nous avons vu qu’elles ne sont pas chiffrées.

Étant donné que Clubhouse n’est disponible que sur iPhone et uniquement sur invitation, des groupes eBay, Craigslist et Facebook privés vendant des invitations sont déjà apparus. Les prix démarrent à 20 dollars et dépassent parfois les 100 dollars.

Les experts d’Avira ont également émis l’hypothèse de menaces de malwares. Même si la majeure partie des personnes qui ont entendu parler de Clubhouse savent que l’application n’est disponible que sur iPhone, celle-ci reste l’une des plus recherchées sur le Google Play Store. Une telle popularité peut créer des opportunités pour les cybercriminels, qui pourraient créer de fausses applications et installer du code malveillant sur les appareils des utilisateurs.

Le meilleur moyen de vous protéger reste de faire preuve de prudence lorsque vous décidez de télécharger une application et de mettre en place de bonnes mesures de sécurité.

 

Cet article est également disponible en: Italien

Quitter la version mobile