TechCrunch vient de lever un (sacrément) gros lièvre. Nos confrères américains ont mis en lumière une des formes les plus sales de vol de données personnelles de la part d’entreprises aux noms aussi respectables que Air Canada, Hotels.com ou Singapore Airlines. Pas d’applications louches de troisième zones, mais de très grandes entreprises qui analysent tous vos faits et gestes sous iOS sans vous en tenir informé. Et qui, pire encore, peuvent faire transiter en clair vos mots de passe et autres informations de cartes bancaires.
Derrière ce gros scandale en gestation se cache non pas une volonté de nuire, mais une démarche analytique pour améliorer les applications. Avec au milieu, des outils d’analyse et l’enregistrement à votre insu de vos usages. Un scandale de plus dans l’utilisation frauduleuse de nos données.
Des replays de votre utilisation de l’app…
Tout part du fait que certaines applications comme celle d’Abercrombie & Fitch ou celles susmentionnées font appel à des outils d’analyse comportementale de consommateurs tels que Glassbox. Si la démarche d’améliorer l’expérience utilisateur est louable, le premier scandale est de savoir ce que fait le service de Glassbox. Il enregistre chaque pression, chaque balayage, chaque action que vous réalisez tout en prenant une capture d’écran à chaque fois… avant de l’envoyer soit sur ses propres serveurs, soit sur les serveurs du client selon son paramétrage. Le but de l’outil est de fournir un « replay » de l’utilisation de l’application.
En visionnant le « replay », l’entreprise ou l’éditeur peut mieux analyser et comprendre ce qui fonctionne bien ou mal dans son programme. A quel moment sommes-nous mis au courant de ce siphonnage de données ? Jamais ! Mais il y a pire. Le transit et l’anonymisation de ces données ne sont pas nécessairement sécurisés…
…avec les informations en clair
Avec l’aide d’un spécialiste des applications mobiles appelé The App Analyst, nos confrères de TechCrunch ont révélé que le masquage des données personnelles sensibles peut s’avérer défectueux. Dans le cas cité par l’article, l’App Analyst dévoile qu’un masquage raté des sessions de replays de l’application Air Canada ne cachaient pas les coordonnées bancaires, laissant le loisir à un employé mal intentionné de lire et faire un usage frauduleux de ces informations.
Et ça c’est un cas de raté, où l’on a initialement la bonne volonté de masquer les informations. Avec l’aide de l’App Analyst, TechCrunch a aussi découvert que certaines applications n’appliquaient même pas de filtre de masquage des données. Laissant la possibilité à un tiers qui intercepterait les données de mettre la main sur tout ce qui est affiché à votre écran.
L’utilisateur jamais averti
TechCrunch a exploré les mentions légales et aucune des applications incriminées dans l’article ne précise cet enregistrement comportemental dans ses conditions d’utilisation. Les deux entreprises qui ont répondu à nos confrères – Abercrombie & Fitch et Air Canada – se sont contentées d’explications vaseuses. A les en croire, les services de Glassbox servent uniquement à « améliorer l’expérience utilisateur » et « n’enregistrent rien hors de l’application » (encore heureux !). Point d’excuses, point de mea culpa. On ne vous dit rien et on ne s’excuse pas.
Si le scandale a été mis en évidence sous iOS, il semble probable que les services de Glassbox et ses concurrents – Appsee, UXCam, Mixpanel, etc. – fonctionnent aussi sous Android comme le pointe The Verge. Il appartient désormais à Google mais surtout à Apple, qui se fait toujours le chevalier blanc de notre droit à la vie privée, de mettre en place les outils pour empêcher purement et simplement la collecte aveugle de nos données.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
