Clubhouse est un nouveau genre de média social basé uniquement sur la voix, qui a considérablement gagné en popularité ces derniers temps.
Cette application est devenue très tendance car elle donne aux utilisateurs la chance exceptionnelle – aussi virtuelle soit-elle – de pouvoir approcher des personnalités riches et célèbres, comme Elon Musk, Drake, Oprah Winfrey ou encore Kevin Hart.
Malheureusement, la plateforme qui n’en est qu’à ses débuts, a déjà connu une violation de données. Mais elle n’est pas la seule dans ce cas. Clubhouse, comme de nombreuses autres applications, fournit une passerelle directe vers vos données et informations personnelles.
Son format sur invitation uniquement et le fait qu’elle ne soit disponible pour le moment qu’aux utilisateurs iOS crée un effet d’exclusivité. Les utilisateurs peuvent communiquer en privé ou sur des chaînes publiques et discuter sur de nombreux sujets.
La dimension sociale est également très présente : les utilisateurs peuvent s’abonner les uns aux autres et Clubhouse encourage évidemment la création de ces réseaux et leur expansion.
Mais outre sa popularité soudaine, la plateforme fait face à de gros problèmes et a clairement sous-estimé l’importance de la confidentialité des données lors de ses premiers mois d’existence.
Avira revient ici sur les 5 plus gros soucis de sécurité que cette nouvelle plateforme soulève…
1. Les protocoles de sécurité et de confidentialité n’ont, eux, pas été invités au club
La plupart des gens ne font pas attention à la politique de confidentialité d’une plateforme de média social en plein essor. Pourtant, ils seraient bien avisés de le faire, d’autant plus que certaines d’entre elles peuvent ouvertement enfreindre les droits des utilisateurs.
Clubhouse, par exemple, ne respecte même pas les principes fondamentaux des lois européennes et contrevient à la plupart des exigences légales en matière de confidentialité et de données, et ce dès que les utilisateurs commencent à se servir de leur plateforme.
Ces manquements ont été soulignés par Alexander Hanff, défenseur de la protection des données et cofondateur de SynData AB, dans un post LinkedIn sur Clubhouse.
Le premier élément du moteur de recommandation d’utilisateurs de Clubhouse est basé sur l’accès aux contacts de l’utilisateur.
Vous ne pouvez inviter personne sur la plateforme si vous n’accordez pas l’accès à vos contacts. Si vous accordez cet accès à l’application, Clubhouse vous indiquera qui de vos contacts l’utilise aussi.
Elle vous incitera également à inviter les personnes qui ne l’ont pas encore et vous alertera dès qu’un de vos contacts a rejoint l’application.
De plus, si vous voulez profiter de l’authentification unique (Single Sign-On), en utilisant vos identifiants sur Twitter ou un autre compte de média social pour vous connecter à Clubhouse, l’application aura aussi accès à tous vos contacts, contenus et informations de cet autre média social.
Toutes ces demandes d’autorisation enfreignent les exigences définies dans le RGPD, la réglementation européenne sur la protection des données et la confidentialité. Le RGPD aborde également le transfert de données personnelles en dehors de l’UE et de l’Espace économique européen, un autre problème pour Clubhouse.
Au cas où vous vous demanderiez ce qu’il advient de vos données une fois recueillies par Clubhouse, sachez qu’elles seront transférées aux États-Unis, sans base juridique valable.
2. Les conversations ne sont pas chiffrées de bout en bout
Si vous consultez leur politique de confidentialité, celle-ci stipule que (traduction depuis l’anglais) :
« Uniquement dans le but d’étayer les enquêtes liées à des incidents, nous enregistrons temporairement l’audio des salles pendant que celles-ci sont en cours. Si un utilisateur signale une violation à l’équipe Confiance et sécurité, alors que la salle existe encore, nous conservons l’audio pour enquêter sur l’incident, puis nous supprimons l’audio lorsque l’enquête est close. Si aucun incident n’est signalé dans une salle, nous supprimons l’enregistrement audio temporaire lorsque la salle est fermée. »
En d’autres termes, le contenu audio est supprimé dès la fermeture d’une salle, à moins qu’il n’y ait une enquête sur un incident.
Cela signifie que le contenu n’est pas chiffré de bout en bout, pour qu’il puisse être enregistré, ce qui est contraire aux règles imposées par la directive européenne ePrivacy (2002/58/EC).
La loi européenne stipule que la confidentialité des communications est requise et que l’interception de ces communications ne peut avoir lieu légalement que si les parties concernées par la communication y consentent.
3. Profilage
Nul besoin de connaître les conditions et clauses légales pour comprendre les manquements de Clubhouse en matière de données utilisateurs.
Outre le fait que l’application enregistre les conversations, elle « recueille le contenu, les communications et d’autres informations fournies par vous, y compris lorsque vous créez un compte, créez ou partagez du contenu et envoyez des messages aux autres », comme le stipule la politique de confidentialité.
L’application « peut également choisir de recueillir des informations sur votre façon d’utiliser le Service, comme les types de conversations auxquelles vous participez, le contenu que vous partagez, les fonctions que vous utilisez, les actions que vous faites, les gens ou les comptes avec lesquels vous interagissez et l’heure, la fréquence et la durée de votre utilisation. »
Rien n’est dit cependant, sur la manière utilisée ni sur ce que fait l’entreprise de ces données par la suite…
4. Transfert de responsabilité
Clubhouse est une très mauvaise idée pour les utilisateurs particuliers et ce, pour plusieurs raisons.
Premièrement, l’application enfreint plusieurs exigences légales sur la confidentialité des données.
Deuxièmement, elle demande aux utilisateurs d’enfreindre la loi en fournissant l’accès à leur carnet d’adresses pour inviter leurs amis à utiliser la plateforme, y compris les numéros de téléphone.
Selon les lois européennes, vous devez avoir le consentement de votre ami(e) pour pouvoir partager ses données personnelles avec une tierce partie à vocation commerciale.
De même, une entreprise ne peut pas utiliser les données personnelles fournies par un tiers (dans ce cas-ci, l’utilisateur) si ces données n’ont pas été fournies de manière légale.
Comme mentionné ci-dessus, la divulgation de données personnelles sans le consentement est illégale…
5. L’engouement des utilisateurs pour Clubhouse, exploité par les cybercriminels
Au-delà des problèmes de confidentialité et de sécurité, l’engouement des utilisateurs pour cette plateforme sociale peut être exploité par les cybercriminels, qui peuvent monétiser la vente de fausses invitations et de fausses applications pour Android, installer du code malveillant sur les appareils des utilisateurs ou enregistrer les conversations, car nous avons vu qu’elles ne sont pas chiffrées.
Étant donné que Clubhouse n’est disponible que sur iPhone et uniquement sur invitation, des groupes eBay, Craigslist et Facebook privés vendant des invitations sont déjà apparus. Les prix démarrent à 20 dollars et dépassent parfois les 100 dollars.
Les experts d’Avira ont également émis l’hypothèse de menaces de malwares.
Même si la majeure partie des personnes qui ont entendu parler de Clubhouse savent que l’application n’est disponible que sur iPhone, celle-ci reste l’une des plus recherchées sur le Google Play Store.
Une telle popularité peut créer des opportunités pour les cybercriminels, qui pourraient créer de fausses applications et installer du code malveillant sur les appareils des utilisateurs.
En fin de compte, une application qui a suscité autant d’attention en si peu de temps n’est pas près de disparaître.
Elle apportera sans nul doute des changements et, espérons-le, renforcera ses politiques de confidentialité et de sécurité. Mais sa réputation, entre autres, a déjà été entachée et pour cause.
Dans le monde connecté d’aujourd’hui, il est inconcevable de choisir la solution de facilité et les entreprises doivent être tenues responsables quand elles ne respectent pas les lois…