Clubhouse : Attention à la confidentialité de vos données !

securite-application-clubhouse

L’exclusivité de Clubhouse a créé un énorme buzz sur la toile mais quid de  la sécurité de l’application et de la confidentialité de nos données personnelles ?

Tribune de Jonathan Fischbein, responsable de la sécurité de l’information chez Check Point Software :

« Jamais je ne voudrais faire partie d’un club qui accepterait de m’avoir pour membre. », comme l’a fait remarquer Groucho Marx. Mais avec l’enthousiasme suscité par Clubhouse chez des personnalités médiatiques et du monde des affaires comme Oprah Winfrey, Kanye West, Drake et Elon Musk, l’application audio « sur invitation seulement » a provoqué une prise de conscience et un intérêt considérable dans le monde entier, même si elle n’existe encore qu’en mode bêta. Elle prétend avoir 10 millions d’utilisateurs, contre 2 millions en janvier 2021, et son estimation à 1 milliard de dollars en fait une licorne technologique au même titre que des applications bien connues comme Uber et AirBnb.

Cependant, comme pour n’importe quelle nouvelle application de média social en plein essor, il existe des signes de difficultés de croissance ou des questions concernant la sécurité et la confidentialité, tant dans le processus d’inscription que dans la manière dont elle protège son contenu. Mais qu’est-ce que Clubhouse au juste, et quels sont les problèmes de sécurité associés ?

Clubhouse est un réseau social audio où les gens ont des conversations qu’un public virtuel peut écouter. En fait, ça ressemble à une collection de podcasts ou d’émissions de radio exclusives et en direct ; les sujets sont regroupés dans une série de catégories telles que le business, la culture, la politique, etc. Clubhouse indique que les conversations disparaissent lorsqu’elles sont terminées et ne peuvent être enregistrées. Actuellement, l’application n’est disponible sur iOS que pour les iPhones, et vous ne pouvez-vous abonner que sur invitation d’un membre.

 

Combien coûte l’abonnement a Clubhouse ?

Bien que l’adhésion soit gratuite si vous êtes invité, les questions sur la confidentialité de Clubhouse commencent dès le processus d’inscription. Lorsqu’une personne est invitée à s’inscrire par un membre, l’application accède à tous ses contacts pour trouver d’autres utilisateurs de Clubhouse. L’application encourage également les utilisateurs à connecter leurs comptes Twitter et Instagram pour trouver des personnes (ou pour que leurs contacts les retrouvent).

C’est monnaie courant avec les nouvelles applications et surtout avec celles à la mode comme TikTok : mais quelles sont les données exactes que Clubhouse extrait ou partage avec d’autres applications de médias sociaux ? Ce n’est pas clair. De nombreux utilisateurs ont indiqué que leurs coordonnées avaient été partagées avec d’autres utilisateurs de Clubhouse sans leur autorisation. Ce manque de transparence démontre une fois de plus la vérité qui se cache derrière ce dicton bien connu : « Si c’est gratuit, c’est que vous êtes le produit »

securite-application-clubhouse

Qui écoute ?

Il existe donc des questions sur la façon dont Clubhouse gère les contacts des utilisateurs. Il existe aussi des questions sur le degré de confidentialité des mouvements des utilisateurs et sur le contenu audio qui se trouve sur l’application. Les enquêtes menées par le Stanford Internet Observatory (SIO) ont confirmé qu’Agora, un fournisseur de logiciels d’engagement en temps réel basé à Shanghai, fournit l’infrastructure de base de l’application Clubhouse. Le SIO a également découvert que les numéros d’identification uniques des utilisateurs de Clubhouse et les identifiants des forums de discussion sont transmis en clair de l’application à son infrastructure centrale, exposant potentiellement ainsi ces détails au gouvernement chinois. Il est possible que le gouvernement chinois ait également accès au contenu audio des utilisateurs : le SIO a observé que les métadonnées des chats de Clubhouse étaient relayées vers des serveurs dont on pense qu’ils sont hébergés en Chine. Clubhouse dit avoir pris des mesures pour empêcher que cela ne se produise.


Événement



De plus, en février 2021, Bloomberg a rapporté qu’un utilisateur non identifié avait pu diffuser des flux audios de Clubhouse provenant de plusieurs forums de discussion différents sur son propre site tiers. Tandis que Clubhouse soutient que les conversations disparaissent de son application dès qu’elles sont terminées, on ne peut pas en dire autant de l’audio qui a été extrait de l’application et hébergé ailleurs. Clubhouse a déclaré qu’il avait bannit l’utilisateur qui avait diffusé des flux audios en continu sur son propre site internet, et avait mis en place de nouvelles garanties pour éviter que la situation ne se reproduise. Il n’en reste pas moins qu’un utilisateur a pu les extraire sans la participation de Clubhouse – et rien ne garantit qu’un audio ne pourra pas être extrait de l’application autrement et rendu public à l’avenir. C’est un peu la même chose avec la sécurité des messages dans un groupe privé sur WhatsApp : si un membre de ce groupe exporte les messages ou le contenu de ce groupe vers une autre plateforme, il perd sa confidentialité.

 

Faux abonnements

Bien entendu, comme pour tout produit exclusif, la demande dépasse l’offre, ce qui ouvre la porte aux escrocs. De nombreux rapports font état de personnes vendant des invitations a Clubhouse : certains vendeurs peuvent être légitimes, mais l’acheteur a peu de chances de savoir si l’invitation est authentique avant d’avoir payé. D’autres arnaqueurs proposent de fausses applications dans l’espoir de tromper les gens. Check Point Research a identifié de fausses applications Clubhouse pour les appareils iOS et Android, qui visent à collecter les données personnelles et les informations d’identification des utilisateurs. L’une de ces applications a été trouvée sur Google Play store avant d’en être retirée, preuve que les escrocs étaient capables de contourner les procédures de sécurité et de contrôle de la plateforme.

En conclusion, Clubhouse connaît un « hype cycle » que l’on observe souvent avec les nouvelles applications populaires. Elle a connu une croissance explosive qui a dépassé les attentes de l’entreprise alors qu’elle était encore en phase bêta, ce qui a amplifié les problèmes de confidentialité et de sécurité qui seraient probablement réglés lors de la phase de pré-lancement de l’application, sans que le grand public en soit conscient.

Pourtant, ces questions montrent clairement que toute personne qui a l’intention d’utiliser Clubhouse doit être consciente des problèmes de sécurité que cela peut poser. Groucho Marx avait bien fait de se demander s’il aurait voulu être membre d’un club juste parce qu’il avait été invité.

Il est utile de rappeler ces conseils de sécurité pour vous protéger contre les applications malveillantes et les escroqueries sur téléphones portables :

1. N’installez que des applications provenant de sources fiables telles que les magasins d’applications officiels (rappelez-vous que Clubhouse n’est actuellement disponible que dans l’App Store d’Apple).

2. Lisez attentivement les autorisations de l’application pour accéder aux contacts et aux données sur votre appareil : ne vous contentez pas de cliquer sur « Accepter ».

3. Ne vous fiez pas automatiquement à la recommandation ou à l’invitation d’une application, même de la part d’une personne que vous pensez connaître.

4. Envisagez de déployer une solution de sécurité mobile sur votre appareil pour vous protéger contre les téléchargements potentiellement malveillants.

 

Article proposé par Jonathan Fischbein, responsable de la sécurité de l’information chez Check Point Software.

Tag :

emoji-email Ne manquez aucune actualité, abonnez-vous !

Chaque semaine, le meilleur de la communication et du digital directement dans votre inbox...