•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Pourquoi vous ne devriez pas partager votre liste de contacts à Clubhouse

L'icône de l'application, qui montre le profil d'un homme, sur un écran d'iPhone.

L'application Clubhouse réunissait quelque 2 millions d'adeptes par semaine à la fin du mois de janvier.

Photo : iStock

Stéphanie Dupuis

Recevoir une invitation à rejoindre l’application audio Clubhouse est une bénédiction pour certaines personnes, mais pour des spécialistes en cybersécurité, il n’y a rien de réjouissant avec ce réseau social.

Il n'y a pas vraiment de respect de la vie privée dans cette application, ni des données des utilisateurs, affirme Luc Lefebvre, cofondateur de l’organisme spécialisé en cybersécurité Crypto.Québec.

Qu'est-ce que Clubhouse?

L’application Clubhouse, exclusive aux appareils iPhone pour le moment, est un réseau social accessible sur invitation seulement. Les internautes peuvent discuter d’une foule de sujets en direct dans des salons audio.

Imaginez : vous avez finalement reçu une invitation qui vous permet d’accéder au réseau social Clubhouse. On vous demande, à votre inscription, d’autoriser l’application à accéder à votre liste de contacts sur votre iPhone, ou encore à vos abonnements sur Twitter (si vous avez choisi l’option de connexion rapide par ce réseau social).

Jusqu’ici, il n’y a rien de très alarmant, selon Luc Lefebvre. C’est une permission qui est demandée sur la plupart des applications.

Là où ça peut poser problème, c’est par rapport à la façon dont ces permissions sont utilisées par le réseau social.

Vos contacts à risque

Après avoir jeté un coup d'œil à la politique sur la vie privée de Clubhouse, le spécialiste en cybersécurité émet plusieurs réserves.

Selon ce qu’on y lit, une personne qui se crée un compte ou s’y connecte par un service tiers, par exemple Twitter, concède à l’application le droit de collecter, stocker et mettre à jour des données comme les listes de contacts et les personnes abonnées.

Donc, une fois l’autorisation accordée à Clubhouse, le réseau social peut enregistrer les données de vos contacts et abonnements, et ce, même s’ils ne souhaitent pas rejoindre le service.

Toutes les applications qui demandent un accès à vos contacts peuvent potentiellement utiliser [ces données] sans le consentement de vos contacts.

Une citation de :Luc Lefebvre

Toutefois, l’absence de mention de chiffrement de bout en bout, qui permettrait de protéger les conversations et les données personnelles des internautes, inquiète Luc Lefebvre.

Minimalement, il devrait y avoir des mentions du chiffrement des données en transit [lorsque les données sont transmises] et au repos [sur les serveurs de Clubhouse], comme c’est le cas pour Facebook, Google, Twitter, Instagram et YouTube, souligne-t-il.

D’autres passages de la politique de Clubhouse font sourciller Luc Lefebvre, notamment celui-ci :

Vous utilisez le service à vos propres risques. Nous mettons en œuvre des mesures techniques, administratives et organisationnelles commercialement raisonnables afin de protéger les données personnelles en ligne et hors ligne contre la perte, l'utilisation abusive et l'accès, la divulgation, l'altération ou la destruction non autorisés. Toutefois, aucune transmission par Internet ou par courrier électronique n'est jamais totalement sûre ou exempte d'erreurs.

L’expert en sécurité informatique estime que ces termes sont non seulement inadéquats pour la sécurité des utilisateurs et utilisatrices, mais aussi qu’ils semblent génériques.

Les données stockées en Chine

Autre signal d’alarme pour l’expert : Agora, une jeune pousse chinoise, fournit les services audio sur lesquels la plateforme fonctionne. Des internautes pourraient s’inquiéter de la capacité de la Chine à surveiller, voire à censurer le service, notamment.

De manière générale, ce qui est développé en Chine devrait être pris avec un maximum de prudence, mentionne Luc Lefebvre.

Tout comme TikTok, qui est chinois, il y a très peu, voire aucune [insistance] qui est mise sur le chiffrement et la protection de la vie privée.

Une citation de :Luc Lefebvre

L’accès à Clubhouse a par ailleurs été bloqué en Chine au début du mois de février, alors que des internautes y discutaient de sujets tabous tels que la détention massive de communautés ouïghoures, les manifestations prodémocratie à Hong Kong et le concept d'indépendance de Taïwan.

Des conversations à risque

Le réseau social, par sa forme audio, s’expose à d’autres brèches de sécurité.

Par son design, l'application est amenée à avoir des fuites. Tout le monde peut copier en temps réel du son et le retransmettre ailleurs. De plusieurs méthodes différentes.

Une citation de :Luc Lefebvre

Clubhouse a par ailleurs confirmé en février avoir banni le compte d’une personne qui aurait diffusé en continu des discussions de certains salons sur un site web extérieur.

Un porte-parole de la plateforme a indiqué à Bloomberg que de nouvelles protections avaient été ajoutées pour empêcher que des conversations s’échappent de nouveau.

C’est évident qu'il ne faut absolument pas utiliser Clubhouse pour avoir des discussions confidentielles. C'est très important, car l'application n'utilise pas de chiffrement de bout en bout, alors les conversations ne sont pas chiffrées par design, contrairement à ce qu’on pourrait voir sur l'application Signal, par exemple, explique Luc Lefebvre.

D’ici à ce que l’application chiffre les conversations, Luc Lefebvre conseille de limiter au maximum l'information que vous y partagez.

Les personnes qui ont déjà accepté que Clubhouse accède à leur liste de contacts et d’abonnements Twitter peuvent aller retirer la permission dans les paramètres généraux de leur téléphone en cliquant sur l’application.

Selon Luc Lefebvre, il est toutefois trop tard : Une fois que les données sont envoyées, retirer la permission ne change pas grand-chose.

Clubhouse n’a pas donné suite à une demande de commentaire.

Avec les informations de Guardian, BBC, Business Insider, et Bloomberg

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !