Vie privée : les pratiques peu scrupuleuses de Sarahah, la nouvelle appli phare des ados

Publié le 30 août 2017 à 05:31

Un expert en sécurité informatique a découvert que la messagerie anonyme Sarahah, véritable phénomène cet été avec déjà plus de 18 millions d’utilisateurs, collecte en toute opacité les données personnelles de ses utilisateurs. L’entreprise invoque sa bonne foi.

La belle success-story de Sarahah, le nouveau réseau social qui cartonne chez les ados, s'entache d'une polémique. La faute à Zachary Julian, un analyste en sécurité informatique de la société de conseil américaine Bishop Fox. En scrutant le fonctionnement de la nouvelle application à la mode chez les ados, l'expert a révélé des pratiques peu scrupuleuses à l'égard des utilisateurs.

Sarahah, la messagerie anonyme qui cartonne chez les ados

Lancée en 2016, Sarahah est une messagerie gratuite dont le succès repose sur l'anonymat. Le principe : en s'inscrivant, chacun permet à ses contacts de lui envoyer un message anonyme. Autrement dit, un message d'une franchise totale, puisque le destinataire ne sait pas qui se cache derrière. Une « nouvelle expérience de communication en ligne », d'après la startup. À l'origine, son inventeur, le Saoudien Zain al-Abidin Tawfiq, voulait favoriser les échanges « honnêtes » et les « critiques constructives » dans le cadre de l'entreprise.

Mais sans surprise, ce sont les ados qui se sont jetés dessus. D'abord dans les pays arabophones (Liban, Egypte, Maghreb) puis partout dans le monde. L'application a notamment profité de Snapchat, le réseau social le plus populaire auprès des 12-17 ans, pour se propager à grande vitesse. Aujourd'hui, Sarahah totalise au moins 18 millions d'utilisateurs dans le monde. Fin juillet, l'application occupait la première place des téléchargements sur l'AppStore, la boutique d'application d'Apple, alors qu'elle naviguait hors du top 1000 quelques mois auparavant. Un vrai phénomène de mode, encore plus spectaculaire que ceux de Yip Yak, autre application au concept similaire, et de Gossip, l'appli française de propagation de « rumeurs », qui avait fait des ravages dans les cours de récré.

Les données personnelles des utilisateurs transférées sur un serveur externe

Les révélations de Zachary Julian mettent au jour un paradoxe : l'application, qui repose sur l'anonymat, collecterait en fait de nombreuses données personnelles et confidentielles sur les smartphones de ses utilisateurs, comme le montre cette vidéo :

« Dès que vous vous connectez sur l'application, elle transmet tous les emails et les contacts téléphoniques stockés sur le système d'opération Android, y compris sur les nouvelles versions », explique Zachary Julian.

Or, si l'entreprise demande -pour les smartphones les plus récents fonctionnant sous Android- la permission d'accéder aux contacts, elle n'indique pas la finalité de cette appropriation de données. Le message pour les utilisateurs d'iPhone est à peine plus clair. La startup indique voulait accéder aux contacts « pour vous montrer qui a un compte Sarahah ». Mais l'entreprise n'indique pour aucun des systèmes d'exploitation qu'elle compte transférer ces données sur un serveur externe, ce qui est pourtant le cas d'après l'expérience menée par Zachary Julian.

Newsletter

Tech & IA

Chaque jour à 13h, l’essentiel de l’actualité tech.

Les pratiques de la startup ne représentent donc « pas un consentement suffisant pour justifier l'envoi de tous ces contacts sans notification précise », estime l'expert. L'éventuelle utilisation postérieure de ces précieuses bases de données pose problème, même si les conditions d'utilisation de Sarahah précisent que l'entreprise ne vendra pas des informations personnelles à des tierces parties sans obtenir d'abord un consentement écrit de l'utilisateur.

À ce problème éthique s'ajoute celui de la sécurité. Si les données qui quittent le téléphone pour se retrouver sur d'autres serveurs ne sont pas suffisamment protégées, elles seraient à la merci de n'importe quel hacker profitant d'une faille de sécurité.

« Sarahah a plus de 10 millions d'installations juste sur le Play Store des smartphones Android. Si vous extrapolez ce chiffre, l'application pourrait facilement détenir des centaines de millions de numéros de téléphones et d'adresses courriel », met en garde l'analyste.

Des abus fréquents pratiqués par de nombreux autres services

Le fondateur, Zain al-Abidin Tawfiq, a réagi sur Twitter pour expliquer que Sararah collectait des contacts pour un futur service intitulé « find your friends » (trouvez vos amis). Il a aussi indiqué au site The Intercept que cette fonctionnalité était bloquée à cause de « problèmes techniques », et qu'un partenaire avait « oublié » de la supprimer de l'application. Il assure également que Sarahah ne stocke aucun contact dans ses serveurs, ce qui est impossible à vérifier.

L'exemple de Sarahah illustre parfaitement le vieil adage régulièrement mis en avant par les défenseurs de la vie privée en ligne : « si c'est gratuit, c'est vous le produit ». Il révèle également l'ampleur des pratiques de siphonnage des données personnelles pratiquées par de nombreuses applications.

Ainsi, la Commission Informatique et Liberté (CNIL) chargée de veiller au respect de la vie privée des citoyens/consommateurs en ligne, multiplie ces derniers temps les mises en demeure, les amendes et les enquêtes. En octobre 2016, elle menaçait la société éditrice de l'application de rumeurs Gossip d'une amende 3 millions d'euros pour « atteintes graves à la vie privée ». Fin juillet, le loueur de véhicules Hertz a écopé d'une amende de 40.000 euros pour n'avoir pas assez protégé les données personnelles de ses utilisateurs, accessibles à n'importe qui à partir de deux URL. Son concurrent Ouicar a lui aussi été épinglé pour les mêmes pratiques, avec seulement un avertissement puisque les faits ont été constatés avant l'entrée en vigueur de la Loi pour une République numérique, qui durcit la législation depuis octobre dernier.