Les failles délirantes de Snapchat dénoncées par la FTC
Quand les TOC frappent les TICs
Le 09 mai 2014 à 08h10
5 min
Droit
Droit
SnapChat vient de conclure un accord amiable avec la Federal Trade Commission pour purger un conflit sur ses conditions générales d’utilisation (CGU). L’application de messagerie évite ainsi un coûteux procès outre-Atlantique. La liste des failles dressée par la FTC montre cependant à quel point ce logiciel a négligé les données de ses utilisateurs.
Dans cet « agreement » (accord amiable), la FTC, agence dédiée à la protection des droits des consommateurs, accuse l’application mobile de tromper les utilisateurs sur différents aspects de son logiciel. Au fil de ces 9 pages (PDF), les failles dévoilées ont malgré tout de quoi faire tressaillir les CNIL du monde entier.
Spécialement, l’un des points forts de l’application est de permettre à l’émetteur d’une photo ou d’une vidéo de définir la période pendant laquelle ses proches pourront la voir. Ce message doit alors s’autodétruire au terme de une à dix secondes, selon les vœux de l’émetteur. Sur App Store ou Google Play, Snapchat assure qu’une fois ce compte à rebours écoulé, il n’est plus possible de voir ces contenus périmés.
Rendre éternels des contenus éphémères
Mais l’agence américaine a listé plusieurs moyens pour rendre éternel cet éphémère de façade. Plusieurs méthodes de hack ont germé dès décembre 2012 puisque les contenus reçus sont stockés dans une zone en clair (voir par exemple ici ou là). Ce n’est finalement qu’en octobre 2013 que l’application a commencé à les chiffrer.
Autre chose, des développeurs peuvent concevoir des applications tierces. Or, « du fait que les fonctionnalités de compte à rebours et d’effacement sont dépendantes de l’utilisation de l’application officielle par le destinataire, celui-ci peut simplement s’appuyer sur une application tierce pour télécharger et sauver ces photos et vidéos ». La FTC remarque à ce titre que depuis le printemps 2013, plusieurs logiciels de ce type pullulent sur les boutiques de téléchargement. « Sur le seul Google Play, une dizaine de ces applications ont été téléchargés plus de 1,7 million fois » dénombre le gendarme américain du droit de la consommation.
Enfin, le destinataire peut toujours effectuer une copie d’écran de ces contenus lorsque l’image surgit sur son écran pendant ces quelques secondes. L’éditeur relativise cette critique, précisant que l’émetteur est « immédiatement » averti de la capture d’écran. « Cependant, le destinataire peut facilement contourner ce mécanisme de détection, argumente la FTC. Par exemple, dans les versions d’iOS antérieures à iOS 7, il a seulement à presser deux fois le bouton « home » pour s’en échapper. Une méthode qui a largement été dévoilée. »
Votre carnet d’adresses dans les mains de Snapchat
Snapchat affirme également dans ses règles relatives à la vie privée que l’éditeur ne trace ni n’accède à aucune information de géolocalisation. Or, en octobre 2012, c’est pourtant ce qu’il a fait sur les versions pour Android, scrutant de près le positionnement Wi-Fi ou cellulaire du smartphone.
Ce n’est pas tout. L’application permet de retrouver ses amis en entrant leur numéro de téléphone. Selon les CGU, ce serait la seule information collectée. L’éditeur propose certes de collecter les emails, numéros de téléphone et identifiants Facebook de ses contacts, mais seulement sur option, et donc avec l'accord de l’utilisateur. Un affichage quelque peu trompeur : même lorsque cette option n’est pas activée, la FTC révèle que Snapchat aspire l’intégralité du carnet d’adresses du smartphone, avec les nom et prénom des personnes et leurs numéros !
Snapchat, tremplin à spams
La gestion des numéros de téléphone de l’application est d’autant plus problématique qu’entre décembre 2011 et décembre 2012, Snapchat oubliait de vérifier que le numéro du compte utilisateur est bien celui du mobile utilisé. Or, il était alors possible d’entrer le numéro d’un autre correspondant. Cette faille a pu générer quelques jolis mélis-mélos, les destinataires détenteurs de ces numéros se plaignant d’avoir reçu des contenus « inappropriés ». Ce n’est qu’en décembre 2012 que l’éditeur a eu la lumineuse idée d’adresser un SMS de confirmation avant d’activer le compte…
Pour enfoncer un peu plus profondément le clou, la FTC indique que Snapchat a également oublié de prévoir une restriction à la création de comptes automatisés. De ce fait, des attaquants ont pu se constituer une base de 4,6 millions d’utilisateurs avec leur numéro de téléphone. Un joli tremplin à spams et autres messages non sollicités.
La vie privée selon Snapchat
Au terme de son accord avec la Federal Trade Commission, Snapchat s’engage à blinder sa sécurité, via un programme de confidentialité digne de ce nom. Dans un communiqué, laconique, l’éditeur explique non sans mal que lors du développement de son application, « nous étions concentrés sur le développement d’un moyen unique, rapide et amusant de communiquer avec ses photos ». Cependant, reconnait-il, « certains points n’ont pas retenu l’attention nécessaire. L’un d'eux fut d’être plus précis sur la façon dont nous devons communiquer avec la communauté ».
À l'occasion de cet accord avec la FTC, la société assure « être dévouée à la promotion de la vie privée de l’utilisateur ». Donner le contrôle aux Snapchatters sur la façon dont ils communiquent « est quelque chose que nous avons toujours pris au sérieux » tambourine-t-elle.
La FTC a toutefois exigé qu’un professionnel indépendant spécialisé sur les questions de la vie privée suive au plus près ces engagements pour les 20 prochaines années.
Les failles délirantes de Snapchat dénoncées par la FTC
-
Rendre éternels des contenus éphémères
-
Votre carnet d’adresses dans les mains de Snapchat
-
Snapchat, tremplin à spams
-
La vie privée selon Snapchat
Commentaires (26)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/05/2014 à 08h28
Les smartphones …
Le 09/05/2014 à 08h32
Sur Windows Phone et l’application 6snap, j’arrive à revoir les images sans problème. Après je sais pas trop sur les autres OS.
Le 09/05/2014 à 08h35
Tu m’étonne que FB voulait les racheter ! Tant de failles permettant d’en savoir plus sur les utilisateurs devait faire rêver Zuckerberg !
Le 09/05/2014 à 08h38
D’où l’intérêt de pouvoir modifier les autorisations d’une application pour éviter des comportements indésirables.
Le 09/05/2014 à 08h45
“L’éditeur relativise cette critique, précisant que l’émetteur est « immédiatement » averti de la capture d’écran.”
Et si le destinataire prend une photo de la photo avec un autre smartphone ??? Grosse faille !!!
Le 09/05/2014 à 08h48
Le 09/05/2014 à 08h54
Le 09/05/2014 à 08h56
Le 09/05/2014 à 08h57
Le 09/05/2014 à 09h10
Le 09/05/2014 à 09h11
Le 09/05/2014 à 09h27
Le 09/05/2014 à 09h30
Le 09/05/2014 à 09h52
Le 09/05/2014 à 09h54
Le 09/05/2014 à 09h58
Le 09/05/2014 à 10h14
Les failles délirantes de blah blah blah dénoncées par la blah blah blah
Pourquoi demander du sérieux à une boîte qui produit de toute façon un gadget inutile ?
Pourquoi se fatiguer ?
A un moment donné, il faut accepter que des gens soient idiots. Dans ce cas précis, les développeurs et les utilisateurs.
Le 09/05/2014 à 11h13
Étrange que des informaticiens pensent que les fichiers disparaissent réellement.
C’est juste une application gadget sans intérêt. Et encore moins maintenant que mme et m michu vont apprendre que sur internet l’oublie n’existe pas.
Le 09/05/2014 à 11h14
Le 09/05/2014 à 11h20
Le 09/05/2014 à 11h36
Sinon dans Android, ils pouvaient utiliser un truc du genre :
getWindow().setFlags(WindowManager.LayoutParams.FLAG_SECURE WindowManager.LayoutParams.FLAG_SECURE);
Pour désactiver les screenshots dans l’application.
Donc soit ils en avaient rien à foutre, soit c’est des mauvais. (je privilégie la première solution).
Le 09/05/2014 à 12h09
Le 09/05/2014 à 15h47
Le 09/05/2014 à 19h21
Dans ma boite on utilise mobile iron pour gérer la flotte d’iPhone. Ça vaut quoi?
Le 10/05/2014 à 03h48
Xprivacy, l’essayer, c’est l’adopter! Fini de se poser des questions lors de l’intall d’une nouvelle appli.
Pour les fainéants comme moi, c’est intégré à Archidroid.
Si cela n’a pas évolué, cyanogen intégrera toujours le moteur de pub de Google pour rester “android compliant “
Le 11/05/2014 à 21h32
MAIS VIREZ DONC CETTE MERDE DE VOS SMARTPHONES !