Les failles délirantes de Snapchat dénoncées par la FTC

Les failles délirantes de Snapchat dénoncées par la FTC

Quand les TOC frappent les TICs

Avatar de l'auteur
Marc Rees

Publié dans

Droit

09/05/2014
26

Les failles délirantes de Snapchat dénoncées par la FTC

SnapChat vient de conclure un accord amiable avec la Federal Trade Commission pour purger un conflit sur ses conditions générales d’utilisation (CGU). L’application de messagerie évite ainsi un coûteux procès outre-Atlantique. La liste des failles dressée par la FTC montre cependant à quel point ce logiciel a négligé les données de ses utilisateurs.

snapchat

 

Dans cet « agreement » (accord amiable), la FTC, agence dédiée à la protection des droits des consommateurs, accuse l’application mobile de tromper les utilisateurs sur différents aspects de son logiciel. Au fil de ces 9 pages (PDF), les failles dévoilées ont malgré tout de quoi faire tressaillir les CNIL du monde entier.

 

Spécialement, l’un des points forts de l’application est de permettre à l’émetteur d’une photo ou d’une vidéo de définir la période pendant laquelle ses proches pourront la voir. Ce message doit alors s’autodétruire au terme de une à dix secondes, selon les vœux de l’émetteur. Sur App Store ou Google Play, Snapchat assure qu’une fois ce compte à rebours écoulé, il n’est plus possible de voir ces contenus périmés.

Rendre éternels des contenus éphémères

Mais l’agence américaine a listé plusieurs moyens pour rendre éternel cet éphémère de façade. Plusieurs méthodes de hack ont germé dès décembre 2012 puisque les contenus reçus sont stockés dans une zone en clair (voir par exemple ici ou ). Ce n’est finalement qu’en octobre 2013 que l’application a commencé à les chiffrer.

 

Autre chose, des développeurs peuvent concevoir des applications tierces. Or, « du fait que les fonctionnalités de compte à rebours et d’effacement sont dépendantes de l’utilisation de l’application officielle par le destinataire, celui-ci peut simplement s’appuyer sur une application tierce pour télécharger et sauver ces photos et vidéos ». La FTC remarque à ce titre que depuis le printemps 2013, plusieurs logiciels de ce type pullulent sur les boutiques de téléchargement. « Sur le seul Google Play, une dizaine de ces applications ont été téléchargés plus de 1,7 million fois » dénombre le gendarme américain du droit de la consommation.

 

Enfin, le destinataire peut toujours effectuer une copie d’écran de ces contenus lorsque l’image surgit sur son écran pendant ces quelques secondes. L’éditeur relativise cette critique, précisant que l’émetteur est « immédiatement » averti de la capture d’écran. « Cependant, le destinataire peut facilement contourner ce mécanisme de détection, argumente la FTC. Par exemple, dans les versions d’iOS antérieures à iOS 7, il a seulement à presser deux fois le bouton « home » pour s’en échapper. Une méthode qui a largement été dévoilée. »

Votre carnet d’adresses dans les mains de Snapchat

Snapchat affirme également dans ses règles relatives à la vie privée que l’éditeur ne trace ni n’accède à aucune information de géolocalisation. Or, en octobre 2012, c’est pourtant ce qu’il a fait sur les versions pour Android, scrutant de près le positionnement Wi-Fi ou cellulaire du smartphone.

 

Ce n’est pas tout. L’application permet de retrouver ses amis en entrant leur numéro de téléphone. Selon les CGU, ce serait la seule information collectée. L’éditeur propose certes de collecter les emails, numéros de téléphone et identifiants Facebook de ses contacts, mais seulement sur option, et donc avec l'accord de l’utilisateur. Un affichage quelque peu trompeur : même lorsque cette option n’est pas activée, la FTC révèle que Snapchat aspire l’intégralité du carnet d’adresses du smartphone, avec les nom et prénom des personnes et leurs numéros !

Snapchat, tremplin à spams

La gestion des numéros de téléphone de l’application est d’autant plus problématique qu’entre décembre 2011 et décembre 2012, Snapchat oubliait de vérifier que le numéro du compte utilisateur est bien celui du mobile utilisé. Or, il était alors possible d’entrer le numéro d’un autre correspondant. Cette faille a pu générer quelques jolis mélis-mélos, les destinataires détenteurs de ces numéros se plaignant d’avoir reçu des contenus « inappropriés ». Ce n’est qu’en décembre 2012 que l’éditeur a eu la lumineuse idée d’adresser un SMS de confirmation avant d’activer le compte…

 

Snapchat Gibson

 

Pour enfoncer un peu plus profondément le clou, la FTC indique que Snapchat a également oublié de prévoir une restriction à la création de comptes automatisés. De ce fait, des attaquants ont pu se constituer une base de 4,6 millions d’utilisateurs avec leur numéro de téléphone. Un joli tremplin à spams et autres messages non sollicités.

La vie privée selon Snapchat

Au terme de son accord avec la Federal Trade Commission, Snapchat s’engage à blinder sa sécurité, via un programme de confidentialité digne de ce nom. Dans un communiqué, laconique, l’éditeur explique non sans mal que lors du développement de son application, « nous étions concentrés sur le développement d’un moyen unique, rapide et amusant de communiquer avec ses photos ». Cependant, reconnait-il, « certains points n’ont pas retenu l’attention nécessaire. L’un d'eux fut d’être plus précis sur la façon dont nous devons communiquer avec la communauté ».

 

À l'occasion de cet accord avec la FTC, la société assure « être dévouée à la promotion de la vie privée de l’utilisateur ». Donner le contrôle aux Snapchatters sur la façon dont ils communiquent « est quelque chose que nous avons toujours pris au sérieux » tambourine-t-elle.

 

La FTC a toutefois exigé qu’un professionnel indépendant spécialisé sur les questions de la vie privée suive au plus près ces engagements pour les 20 prochaines années.

26

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Rendre éternels des contenus éphémères

Votre carnet d’adresses dans les mains de Snapchat

Snapchat, tremplin à spams

La vie privée selon Snapchat

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (26)


Le 09/05/2014 à 08h 28

Les smartphones …


Alderaaan Abonné
Le 09/05/2014 à 08h 32

Sur Windows Phone et l’application 6snap, j’arrive à revoir les images sans problème. Après je sais pas trop sur les autres OS.


Mr.Nox Abonné
Le 09/05/2014 à 08h 35

Tu m’étonne que FB voulait les racheter ! Tant de failles permettant d’en savoir plus sur les utilisateurs devait faire rêver Zuckerberg !


D’où l’intérêt de pouvoir modifier les autorisations d’une application pour éviter des comportements indésirables.


Le 09/05/2014 à 08h 45

“L’éditeur relativise cette critique, précisant que l’émetteur est « immédiatement » averti de la capture d’écran.”



Et si le destinataire prend une photo de la photo avec un autre smartphone ??? Grosse faille !!!


Le 09/05/2014 à 08h 48







ActionFighter a écrit :



D’où l’intérêt de pouvoir modifier les autorisations d’une application pour éviter des comportements indésirables.







ça se fait ça maintenant ?

De faire tourner les apps dans des environnements avec des fausses infos sur certains droits ?



Genre si l’app demande accès à tes contacts, tu lui file un faux fichier contact.



J’avais lu que des travaux dans ce sens étaient fait chez cyanogen il me semble.









pandaroux a écrit :



ça se fait ça maintenant ?





Sur un tel rooté, tu as des outils te permettant de modifier les autorisations des applications, mais pas de fournir de fausses infos, comme tu l’évoques.



Reste que l’appli peut ensuite planter si le refus de l’autorisation n’est pas bien géré par l’appli.







pandaroux a écrit :



De faire tourner les apps dans des environnements avec des fausses infos sur certains droits ?



Genre si l’app demande accès à tes contacts, tu lui file un faux fichier contact.



J’avais lu que des travaux dans ce sens étaient fait chez cyanogen il me semble.





C’est une très bonne idée, je ne savais pas que c’était en projet <img data-src=" />



John Shaft Abonné
Le 09/05/2014 à 08h 56







pandaroux a écrit :



ça se fait ça maintenant ?

De faire tourner les apps dans des environnements avec des fausses infos sur certains droits ?



Genre si l’app demande accès à tes contacts, tu lui file un faux fichier contact.



J’avais lu que des travaux dans ce sens étaient fait chez cyanogen il me semble.







Certaines applis comme LBE Security permettent d’interdire (pas de fausser le résultat d’une requête) certains droits à une appli. Il se peut que ça la fasse planter au passage d’ailleurs.



De mémoire Android 4.3 embarquait ça par défaut… avant que Google n’enlève cette possibilité fissa



<img data-src=" />



EDIT : Grillé



Le 09/05/2014 à 08h 57







John Shaft a écrit :



De mémoire Android 4.3 embarquait ça par défaut… avant que Google n’enlève cette possibilité fissa







Elle n’as pas été retirée mais cachée pour éviter que madame Michu bloque l’accès internet a Facebook et se plaigne qu’Android ça marche pas <img data-src=" />



Le 09/05/2014 à 09h 10







pandaroux a écrit :



ça se fait ça maintenant ?

De faire tourner les apps dans des environnements avec des fausses infos sur certains droits ?



Genre si l’app demande accès à tes contacts, tu lui file un faux fichier contact.



J’avais lu que des travaux dans ce sens étaient fait chez cyanogen il me semble.









ActionFighter a écrit :



Sur un tel rooté, tu as des outils te permettant de modifier les autorisations des applications, mais pas de fournir de fausses infos, comme tu l’évoques.



Reste que l’appli peut ensuite planter si le refus de l’autorisation n’est pas bien géré par l’appli.





C’est une très bonne idée, je ne savais pas que c’était en projet <img data-src=" />





Si si c’est possible avec un tel rooté, le framework Xposed et le module Xprivacy. Si j’ai bien suivi le fonctionnement, l’app ne bloque pas les autorisations car ca pourrait faire planter l’app, elle envoie de fausses infos pour être sur que l’appli que l’on veut gérer ne plante pas <img data-src=" />



Le 09/05/2014 à 09h 11







pandaroux a écrit :



ça se fait ça maintenant ?

De faire tourner les apps dans des environnements avec des fausses infos sur certains droits ?



Genre si l’app demande accès à tes contacts, tu lui file un faux fichier contact.



J’avais lu que des travaux dans ce sens étaient fait chez cyanogen il me semble.







Oui c’est implémenté sur Cyanogen ;) (fonction Privacy Guard)



Le 09/05/2014 à 09h 27







athlon64 a écrit :



Si si c’est possible avec un tel rooté, le framework Xposed et le module Xprivacy. Si j’ai bien suivi le fonctionnement, l’app ne bloque pas les autorisations car ca pourrait faire planter l’app, elle envoie de fausses infos pour être sur que l’appli que l’on veut gérer ne plante pas <img data-src=" />







Xprivacy (ou équivalent) devrait être en base sur android <img data-src=" />

Il balance de fausses infos, ou vide ou bloque des fonctions (il va plus loin que simplement “révoquer” les droits du manifest de l’app <img data-src=" />



Le 09/05/2014 à 09h 30







CryoGen a écrit :



Xprivacy (ou équivalent) devrait être en base sur android <img data-src=" />

Il balance de fausses infos, ou vide ou bloque des fonctions (il va plus loin que simplement “révoquer” les droits du manifest de l’app <img data-src=" />





Je rêve que les constructeurs proposent deja le root sans devoir bidouiller <img data-src=" />



Pour Xprivacy, auncu n’osera, ca serait se mettre à dos Google (pub), mais pourtant ca protégerait un peu de certaines app avec des droits de malade, juste pour des trucs basiques. <img data-src=" />



Et merci pour les précisions sur le fonctionnement de Xprivacy <img data-src=" />



Le 09/05/2014 à 09h 52







Zimt a écrit :



Les smartphones …





Non, pas les Smartphones. Juste les applis à la cn et les dev à la cn aussi.



Sinon, rien à voir, le forum est mort ? Depuis la bascule en “forum.nextinpact.com” je n’y ai plus accès (forum en maintenance).



Le 09/05/2014 à 09h 54







eXa a écrit :



Elle n’as pas été retirée mais cachée pour éviter que madame Michu bloque l’accès internet a Facebook et se plaigne qu’Android ça marche pas <img data-src=" />





Faut rooter l’appareil pour le faire réapparaitre ? (vraie question)



Darnel Abonné
Le 09/05/2014 à 09h 58







Mr.Nox a écrit :



Tu m’étonne que FB voulait les racheter ! Tant de failles permettant d’en savoir plus sur les utilisateurs devait faire rêver Zuckerberg !





Tu n’as pas besoin de failles quand tu administre la base de données… En fait les failles font justement que FB n’a pas besoin de les racheter. <img data-src=" />



Le 09/05/2014 à 10h 14



Les failles délirantes de blah blah blah dénoncées par la blah blah blah





Pourquoi demander du sérieux à une boîte qui produit de toute façon un gadget inutile ?



Pourquoi se fatiguer ?



A un moment donné, il faut accepter que des gens soient idiots. Dans ce cas précis, les développeurs et les utilisateurs.


Le 09/05/2014 à 11h 13

Étrange que des informaticiens pensent que les fichiers disparaissent réellement.

C’est juste une application gadget sans intérêt. Et encore moins maintenant que mme et m michu vont apprendre que sur internet l’oublie n’existe pas.


Le 09/05/2014 à 11h 14







Gilbert_Gosseyn a écrit :



Faut rooter l’appareil pour le faire réapparaitre ? (vraie question)







Si tu es pas en 4.4.2 ou plus pas besoin

https://play.google.com/store/search?q=app+ops&c=apps



Le 09/05/2014 à 11h 20







Gilbert_Gosseyn a écrit :



Sinon, rien à voir, le forum est mort ? Depuis la bascule en “forum.nextinpact.com” je n’y ai plus accès (forum en maintenance).







Tu sors de ta grotte ? <img data-src=" />



Il y a un admin qui a cassé le forum, ils essayent de résoudre le problème au plus vite, il devrait avoir une news sur le sujet avec plus d’explications normalement.



Le 09/05/2014 à 11h 36

Sinon dans Android, ils pouvaient utiliser un truc du genre :





getWindow().setFlags(WindowManager.LayoutParams.FLAG_SECURE WindowManager.LayoutParams.FLAG_SECURE);





Pour désactiver les screenshots dans l’application.

Donc soit ils en avaient rien à foutre, soit c’est des mauvais. (je privilégie la première solution).


Le 09/05/2014 à 12h 09







Alderaaan a écrit :



Sur Windows Phone et l’application 6snap, j’arrive à revoir les images sans problème. Après je sais pas trop sur les autres OS.





+1, je croyais que c’était le comportement normal, aussi sur snapshat <img data-src=" />



Zulgrib Abonné
Le 09/05/2014 à 15h 47







ActionFighter a écrit :



Sur un tel rooté, tu as des outils te permettant de modifier les autorisations des applications, mais pas de fournir de fausses infos, comme tu l’évoques.



Reste que l’appli peut ensuite planter si le refus de l’autorisation n’est pas bien géré par l’appli.





C’est une très bonne idée, je ne savais pas que c’était en projet <img data-src=" />





Tu peux fournir de fausses info aléatoires avec XPrivacy. Et ça ne fait pas planter les applis.



john san Abonné
Le 09/05/2014 à 19h 21

Dans ma boite on utilise mobile iron pour gérer la flotte d’iPhone. Ça vaut quoi?


Le 10/05/2014 à 03h 48

Xprivacy, l’essayer, c’est l’adopter! Fini de se poser des questions lors de l’intall d’une nouvelle appli.



Pour les fainéants comme moi, c’est intégré à Archidroid.



Si cela n’a pas évolué, cyanogen intégrera toujours le moteur de pub de Google pour rester “android compliant “


Le 11/05/2014 à 21h 32

MAIS VIREZ DONC CETTE MERDE DE VOS SMARTPHONES !