Contenu

SnapChat, ou l'énorme violation de la vie privée

Le service américain SnapChat a conclu cette semaine un accord avec la Federal Trade Commission (FTC) qui concerne ses conditions générales d’utilisation (CGU). Cet accord lui permet d’éviter un procès. Au vu des failles de sécurité et des manquements à la protection de la vie privée, SnapChat a accepté d’être placé sous audit concernant la vie privée pendant 20 ans !

La FTC est une instance gouvernementale américaine qui est chargée de la protection des consommateurs. Suite à une enquête, elle a accusé SnapChat de tromper les utilisateurs sur de nombreuses fonctions de l’application.

En premier lieu, les promesses de SnapChat concernant la disparition des messages n’auraient pas été tenues ; ensuite, SnapChat aurait collecté plus de données personnelles qu’il ne l’indiquait ; enfin les données collectées n’auraient pas été suffisamment sécurisées et protégées contre des accès indus notamment.

Messages qui s’autodétruisent. Ou pas.

L’application se vantait de détruire le message, la photo ou la vidéo envoyée quelques secondes après que le destinataire l’a consultée (au maximum dix secondes). Snapchat assurait donc l’utilisateur que ces contenus seraient totalement indisponibles pour quiconque une fois le délai écoulé.

Pourtant, la FTC a démontré que plusieurs moyens externes à l’application existent pour contourner cette limitation. Il est possible d’utiliser des outils permettant de sauvegarder les photos et vidéos, rendant donc possible un accès ultérieur à ces données et pour une durée indéterminée. Dès décembre 2012 et jusqu’en octobre 2013, il était par exemple possible de parcourir les fichiers du smartphone avec un ordinateur et d’aller récupérer les images et vidéos qui n’étaient même pas chiffrées.

D’ailleurs, des applications développées par des tiers permettent de se connecter au système de SnapChat via une API (Application Programming Interface) sans passer par l’application officielle du service. Cependant, si l’utilisation d’application tierce était permise, celles-ci n’étaient pas soumises à l’obligation d’effacer les contenus après l’expiration du délai ! Seule l’utilisation de l’application officielle avait cet effet. Par conséquent, utiliser une application tierce permet de sauvegarder les contenus alors que la personne qui les envoie croit qu’ils seront effacés. Selon la FTC, ces applications auraient été téléchargées 1.7 million de fois rien que sur Google Play.

Enfin, il existe toujours la possibilité d’effectuer une capture d’écran avant que le message ne s’autodétruise. SnapChat affirmait que l’envoyeur serait notifié si le destinataire prenait une capture d’écran. Cependant, sous les versions précédant iOS 7, le fait d’appuyer deux fois rapidement sur le bouton d’accueil permettait d’empêcher cette notification et de prendre la capture d’écran souhaitée.

Données de géolocalisation collectées

Entre juin 2011 et février 2013, SnapChat affirmait dans ses CGU ne pas demander, suivre ou accéder aux informations de géolocalisation des utilisateurs. En octobre 2012 cependant, SnapChat a ajouté à la version Android de l’application un système de traçage ; les utilisateurs étaient notifiés que l’app était susceptible d’accéder aux données de géolocalisation, mais SnapChat n’avait pas précisé qu’il utiliserait effectivement ces données, contrairement à ce qu’il avait annoncé. Il y a donc tromperie.

Utilisation du carnet d’adresses

SnapChat, à l’instar d’autres services comme Whatsapp ou Telegram ou Viber, nécessite que l’utilisateur rentre son numéro de portable. De plus, SnapChat offre une fonctionnalité pour retrouver des contacts (“Find friends”) utilisant aussi le service. Pour cela, l’utilisateur doit saisir leur numéro de portable. Selon les CGU du service, seule cette donnée est collectée obligatoirement. D’autres données comme l’adresse email ou d’autres numéros de téléphone voire l’identifiant Facebook pouvaient être collectées aussi, mais ce choix revenait à l’utilisateur.

Le problème est que SnapChat pompe l’intégralité du carnet d’adresses, contrairement à ce que ses CGU stipulent, et malgré que l’option pour partager plus de données ne soit pas activée par l’utilisateur.

Spam et contenus inappropriés

Entre septembre 2011 et décembre 2012, SnapChat ne vérifiait pas que le numéro du compte de l’utilisateur était bien celui effectivement utilisé (de nombreux services envoient un SMS au numéro saisi pour faire cette vérification). Dès lors, il suffisait à des personnes – mal intentionnées – de saisir un numéro au hasard comme numéro de compte et d’envoyer des contenus indésirables aux détenteurs de ces numéros, sans parler de l’accès à des informations personnelles envoyées par des personnes croyant à tort communiquer avec un ami. En décembre 2012, SnapChat a activé la fonction de vérification par SMS.

La FTC va plus loin encore et déclare que le service n’avait pas de système empêchant la création automatisée de comptes et restreignant le nombre de requêtes faites avec le Friend finder au moyen de son API, ce qui a permis à des hackers de dérober 4.6 millions d’identifiants en janvier 2014. Tout cela alors que les CGU mentionnaient expressément que SnapChat prenait des mesures pour protéger les données. Ce qui n’était pas le cas, selon la FTC.

Réaction de SnapChat concernant l’accord avec la FTC

Selon l’accord avec la FTC, SnapChat s’engage à sécuriser son système en utilisant les standards actuels.

Dans son communiqué, la société reconnait que certains aspects n’ont pas bénéficié de l’attention requise, notamment la communication et la précision de celle-ci avec les utilisateurs. Et d’expliquer que la principale raison à ces manquements était qu’ils étaient concentrés sur le développement d’un moyen unique, rapide et amusant pour communiquer avec des images.

SnapChat affirme maintenant se consacrer à la promotion de la vie privée. Je doute qu’ils aient vraiment le choix… Surtout qu’un professionnel des questions de confidentialité et de vie privée suivra les engagements de SnapChat pendant les 20 prochaines années.

Commentaire

Je ne peux que saluer la FTC et la féliciter pour son action. Je crois qu’il est sain, de nos jours, de rappeler qu’on ne plaisante pas avec la sécurité et la protection des données, même si cette dernière s’étiole de plus en plus.

J’en profite aussi pour rappeler que même si la lecture des CGU d’un service s’avère pénible et fastidieux, cela n’en reste pas moins un contrat et il est important de savoir à quoi l’on s’engage, ainsi que de savoir quelles garanties sont offertes par le cocontractant.

N.B. Pour une approche plus “technique” et pour comprendre que l’éphémère n’existe pas sur Internet, allez jeter un oeil à cet article sur EthACK.org.