Les scandales concernant la violation et la révélation de données personnelles sont aujourd’hui monnaie courante. Les affaires ne semblent plus vraiment nous surprendre… Et pourtant, mercredi 6 février, Techcrunch a fait des révélations imprévues sur l’utilisation d’informations sensibles saisies par les utilisateurs d’applications de voyages, et de magasins de prêt-à-porter mondialement connus. Explications.
Les applications de grandes marques capturent vos actions
Selon l’enquête d’investigation du site américain Techcrunch, la société d’analyse Glassbox communique les données confidentielles de milliers d’utilisateurs des applications iOS Abercombie & Fitch, Hollister, Expedia, Air Canada, Hotels.com et encore bien d’autres grandes entreprises. Le point de départ est Glassbox, une société d’analyse de l’expérience client, à laquelle font appel de nombreuses applications. Glassbox leur permet, en principe, de comprendre les comportements des utilisateurs, et de trouver ce qui peut être fait pour optimiser leur expérience.
Le problème c’est que pour arriver à donner un diagnostic, Glassbox pratique le “session replay”, une technique qui consiste à enregistrer les activités des utilisateurs via une photo ou une vidéo. Tous leurs faits et gestes sont épiés, la moindre pression sur l’écran est enregistrée.
Ces actions capturées seulement lorsque que vous utilisez l’application sont censées l’améliorer. Elles sont donc toutes envoyées au développeur de l’application, puis enregistrées sur les serveurs de Glassbox ou directement sur ceux de leurs clients. C’est notamment le choix de Expedia et Hotels.com.
Des données bancaires transmises sans aucune permission
Le pire dans le “session replay” pratiqué par Glassbox, c’est qu’aucune des entreprises ne prévient les utilisateurs. Pour son enquête, Telecrunch a lu absolument toutes les politiques de confidentialité et toutes les conditions générales, et il n’en est pas fait mention. Mis à part pour Air Canada, qui en parle dans une toute petite ligne.
Les captures d’écrans des actions sont censées masquer les données sensibles et personnelles saisies par les clients… Mais pourtant, ceci n’est pas réalisé systématiquement. C’est ainsi qu’en août dernier, les données de 20 000 utilisateurs de Air Canada ont fuité. Toute personne ayant accès à la base de données était alors en mesure d’utiliser les adresses mails des clients mais aussi leurs données bancaires et les numéros de leurs passeports. Si Glassbox ne masque pas véritablement vos données dans les captures d’écran, les développeurs des applications pourraient donc avoir accès à toutes vos informations confidentielles.
Ces révélations donnent à réfléchir sur notre utilisation quotidienne de multiples applications. Et si cette fois c’est Glassbox qui est mis en cause, il semblerait que d’autres firmes analystes telles que Appsee, UXCam et Mixpanel utilisent les mêmes méthodes.
