Les failles délirantes de Snapchat dénoncées par la FTC

Quand les TOC frappent les TICs 26
Marc Rees

SnapChat vient de conclure un accord amiable avec la Federal Trade Commission pour purger un conflit sur ses conditions générales d’utilisation (CGU). L’application de messagerie évite ainsi un coûteux procès outre-Atlantique. La liste des failles dressée par la FTC montre cependant à quel point ce logiciel a négligé les données de ses utilisateurs.

snapchat

Dans cet « agreement » (accord amiable), la FTC, agence dédiée à la protection des droits des consommateurs, accuse l’application mobile de tromper les utilisateurs sur différents aspects de son logiciel. Au fil de ces 9 pages (PDF), les failles dévoilées ont malgré tout de quoi faire tressaillir les CNIL du monde entier.

Spécialement, l’un des points forts de l’application est de permettre à l’émetteur d’une photo ou d’une vidéo de définir la période pendant laquelle ses proches pourront la voir. Ce message doit alors s’autodétruire au terme de une à dix secondes, selon les vœux de l’émetteur. Sur App Store ou Google Play, Snapchat assure qu’une fois ce compte à rebours écoulé, il n’est plus possible de voir ces contenus périmés.

Rendre éternels des contenus éphémères

Mais l’agence américaine a listé plusieurs moyens pour rendre éternel cet éphémère de façade. Plusieurs méthodes de hack ont germé dès décembre 2012 puisque les contenus reçus sont stockés dans une zone en clair (voir par exemple ici ou ). Ce n’est finalement qu’en octobre 2013 que l’application a commencé à les chiffrer.

Autre chose, des développeurs peuvent concevoir des applications tierces. Or, « du fait que les fonctionnalités de compte à rebours et d’effacement sont dépendantes de l’utilisation de l’application officielle par le destinataire, celui-ci peut simplement s’appuyer sur une application tierce pour télécharger et sauver ces photos et vidéos ». La FTC remarque à ce titre que depuis le printemps 2013, plusieurs logiciels de ce type pullulent sur les boutiques de téléchargement. « Sur le seul Google Play, une dizaine de ces applications ont été téléchargés plus de 1,7 million fois » dénombre le gendarme américain du droit de la consommation.

Enfin, le destinataire peut toujours effectuer une copie d’écran de ces contenus lorsque l’image surgit sur son écran pendant ces quelques secondes. L’éditeur relativise cette critique, précisant que l’émetteur est « immédiatement » averti de la capture d’écran. « Cependant, le destinataire peut facilement contourner ce mécanisme de détection, argumente la FTC. Par exemple, dans les versions d’iOS antérieures à iOS 7, il a seulement à presser deux fois le bouton « home » pour s’en échapper. Une méthode qui a largement été dévoilée. »

Votre carnet d’adresses dans les mains de Snapchat

Snapchat affirme également dans ses règles relatives à la vie privée que l’éditeur ne trace ni n’accède à aucune information de géolocalisation. Or, en octobre 2012, c’est pourtant ce qu’il a fait sur les versions pour Android, scrutant de près le positionnement Wi-Fi ou cellulaire du smartphone.

Ce n’est pas tout. L’application permet de retrouver ses amis en entrant leur numéro de téléphone. Selon les CGU, ce serait la seule information collectée. L’éditeur propose certes de collecter les emails, numéros de téléphone et identifiants Facebook de ses contacts, mais seulement sur option, et donc avec l'accord de l’utilisateur. Un affichage quelque peu trompeur : même lorsque cette option n’est pas activée, la FTC révèle que Snapchat aspire l’intégralité du carnet d’adresses du smartphone, avec les nom et prénom des personnes et leurs numéros !

Snapchat, tremplin à spams

La gestion des numéros de téléphone de l’application est d’autant plus problématique qu’entre décembre 2011 et décembre 2012, Snapchat oubliait de vérifier que le numéro du compte utilisateur est bien celui du mobile utilisé. Or, il était alors possible d’entrer le numéro d’un autre correspondant. Cette faille a pu générer quelques jolis mélis-mélos, les destinataires détenteurs de ces numéros se plaignant d’avoir reçu des contenus « inappropriés ». Ce n’est qu’en décembre 2012 que l’éditeur a eu la lumineuse idée d’adresser un SMS de confirmation avant d’activer le compte…

Snapchat Gibson

Pour enfoncer un peu plus profondément le clou, la FTC indique que Snapchat a également oublié de prévoir une restriction à la création de comptes automatisés. De ce fait, des attaquants ont pu se constituer une base de 4,6 millions d’utilisateurs avec leur numéro de téléphone. Un joli tremplin à spams et autres messages non sollicités.

La vie privée selon Snapchat

Au terme de son accord avec la Federal Trade Commission, Snapchat s’engage à blinder sa sécurité, via un programme de confidentialité digne de ce nom. Dans un communiqué, laconique, l’éditeur explique non sans mal que lors du développement de son application, « nous étions concentrés sur le développement d’un moyen unique, rapide et amusant de communiquer avec ses photos ». Cependant, reconnait-il, « certains points n’ont pas retenu l’attention nécessaire. L’un d'eux fut d’être plus précis sur la façon dont nous devons communiquer avec la communauté ».

À l'occasion de cet accord avec la FTC, la société assure « être dévouée à la promotion de la vie privée de l’utilisateur ». Donner le contrôle aux Snapchatters sur la façon dont ils communiquent « est quelque chose que nous avons toujours pris au sérieux » tambourine-t-elle.

La FTC a toutefois exigé qu’un professionnel indépendant spécialisé sur les questions de la vie privée suive au plus près ces engagements pour les 20 prochaines années.


chargement
Chargement des commentaires...