BFM Business

Certaines applications enregistrent l'écran de votre smartphone sans votre accord

-

- - Sous licence Creative Commons CC0

Pendant l'enregistrement de l'activité de l'utilisateur, les données sensibles sont censées être masquées pour éviter qu'elles soient exposées en cas de piratage. Mais ce n'est pas toujours le cas.

Les applications pour smartphone récoltent nos données personnelles. Mais certaines vont jusqu'à enregistrer tout ce qui s'affiche à l'écran de nos mobiles pour analyser nos faits et gestes. Le site américain TechCrunch révèle que des entreprises comme Air Canada, Expedia ou Hollister ont pu espionner leurs utilisateurs à leur insu quand ils utilisaient leur application iOS. Toutes sont clientes de l’entreprise israélienne Glassbox, spécialisée dans l’analyse des usages des internautes. 

"Imaginez s’il était possible de voir exactement ce que les consommateurs font, en temps réel? Ce n’est plus une hypothèse, c’est une réalité. C’est Glassbox", se vante la société dans un tweet. La firme vend aux entreprises un outil destiné à enregistrer l'écran des utilisateurs de leurs applications, afin d'analyser leurs usages. 

Dès que l'un d'entre eux tape sur l'écran, appuie sur un bouton ou sur le clavier, cette activité est enregistrée et envoyée au développeur de l'application. Des informations sensibles comme le numéro de passeport, les coordonnées bancaires et d’autres renseignements personnels sont donc enregistrées. 

Les utilisateurs ne sont pas avertis

Glassbox propose à ses clients de masquer ces informations avec des carrés noirs. Les entreprises ont la charge de s'assurer que toutes les données sont sécurisées. Mais selon le blog spécialisé App Analyst, la compagnie aérienne Air Canada n'est pas très consciencieuse sur ce point. Il arrive que des zones masquées par un filtre soient ensuite enregistrées sans aucune sécurité. Ce qui les rend vulnérables en cas de piratage. Pour rappel, Air Canada a été victime d'un attaque informatique en août dernier, exposant les données de 20.000 utilisateurs. Notamment les numéros de passeport. 

Données
Données © App Analyst

Selon TechCrunch, aucune entreprise n'informe ses clients qu'ils sont susceptibles d'être enregistrés. Et il n'est précisé dans aucune des conditions d’utilisation qu’elles ont recours aux services de Glassbox. Sur son site internet, l'entreprise israélienne met en avant ses clients. On retrouve notamment la banque ING. 

"Nos conditions d'utilisation exigent que les applications demandent le consentement explicite de l'utilisateur et fournissent une indication visuelle claire lors de toute forme d'enregistrement de l'activité des utilisateurs", a réagi Apple dans un email adressé jeudi à TechCrunch. "Nous avons prévenu les développeurs qui enfreignent ces conditions et prendrons des mesures immédiates si nécessaire". Glassbox est également disponible sur Andoid. Comme pour l'App Store, le règlement de Google Play interdit aux applications de dissimuler un outil qui viserait à espionner le comportement des utilisateurs. Google ne s'est pas encore exprimé sur le sujet. 

Mise à jour du 8/02 à 10 heures: ajout de la réaction d'Apple

https://twitter.com/Pauline_Dum Pauline Dumonteil Journaliste BFM Tech