Le récent changement de politique de LastPass sur la synchronisation entre ordinateurs et appareils mobiles – maintenant réservée aux abonnés Premium – a provoqué une fuite d’utilisateurs, surtout vers BitWarden.
L’éditeur doit maintenant faire face à la découverte de sept trackers dans son application Android, à la suite d’une analyse par Mike Kuketz via Exodus.
Quatre sont de Google et servent aux rapports d’erreurs et remontées d’indicateurs techniques, les trois autres proviennent d’AppsFlyer, MixPanel et Segment. Ceux-là servent surtout au profilage de l’utilisateur, en grande partie à des fins publicitaires.
Une utilisation problématique dans le cadre d’un gestionnaire de mots de passe. L’intégration de trackers suppose la compilation d’un code tiers, sur lequel l’éditeur concerné n’a pas prise. Pour Kuketz, ce sont des risques supplémentaires de sécurité, surtout pour des applications gérant des données si sensibles.
Le chercheur en sécurité précise que BitWarden intègre deux trackers, un pour les indicateurs liés à Firebase (Google), l’autre pour les rapports de plantage de Visual Studio. Et les autres ? Dashlane en intègre quatre, 1Password et KeePass aucun.
Pour LastPass, il n’y a pas de problème : « Aucune donnée sensible personnelle identifiable ou activité du coffre ne pourrait passer par ces trackers. Ils ne collectent que des données statistiques agrégées limitées sur la manière dont vous utilisez LastPass, ce qui nous permet d’améliorer et optimiser le produit ».
L’éditeur ajoute que cette collecte peut être coupée dans les réglages avancés du compte, et que ses processus sont constamment révisés. Une manière d’indiquer qu’en cas de trop gros scandale ou de fuite accélérée des utilisateurs, la situation pourrait évoluer.
Commentaires (7)
#1
Les applications bancaires aussi sont blindées de traceurs, et même si j’imagine qu’elles ne partagent pas le détail de nos relevés de compte, c’est quand même des infos sensibles…
https://twitter.com/Grime_town/status/1359909579065352194
https://twitter.com/valeryan24/status/1360193631131496452
J’aimerais bien une petite enquête de NextInpact à ce sujet, avec l’interrogation des services de presse / cybersécurité des différentes banques françaises !
#1.1
Ce qui est d’autant plus inadmissible, c’est que l’application devient obligatoire pour les achats par internet.
Mon conseiller va recevoir un petit mail, en espérant que l’info arrive aux bonnes personnes.
#2
Les extensions navigateur sont elles auditées aussi ?
#3
le problème c’est que tu “imagines” :) En fait, on ne sait pas vraiment qu’elles données remontent (en tous cas pas moi). Mais ca pourrait être intéressant une enquête en effet.
C’est surement des données “afin d’améliorer leurs services” ! Voyons….
#4
+1
C’est bien gentil tout ça mais quand on utilise uBlock Origin, Privacy Badger et autres extensions du même acabit, on accepte bien lors de leur installation “qu’elles aient accès à tout ce qui transite par le navigateur”.
Donc surfer sur le site de sa banque, etc avec ces extensions activées, c’est aussi s’exposer.
Mais bon à un moment il faut bien finir par faire confiance à quelqu’un sinon on n’utilise plus rien…
#5
Les applis je ne sais pas, mais certaines banques comme Boursorama ne se sont pas gênées sur leur site web pour partager le cookie de connexion de l’utilisateur avec un tracker : https://blog.imirhil.fr/2019/11/13/first-party-tracker.html
Partant de là il vaut mieux garder une imagination très ouverte…
Exactement : https://twitter.com/troyhunt/status/1037457241840877568
#6
On n’a pas besoin d’utiliser SEPT trackeurs, pour “améliorer et optimiser le produit”