Le site technologique Cybernews signalait le week-end dernier avoir découvert les données d'1,3 million d'utilisateurs Clubhouse. Il ne s'agissait pas de mots de passe ou de communications privées, mais bien d'ID, noms, photos, profils sur d'autres comptes de médias sociaux, ainsi que de différents détails.

Paul Davidson, CEO de Clubhouse, nuance cette soi-disant fuite de données: 'C'est trompeur et faux. Il n'y a pas eu d'intrusion ou de piratage chez Clubhouse. Les données auxquelles il est fait référence, sont toutes des informations publiques de notre appli, auxquelles tout un chacun a accès via l'appli ou une API.'

C'est partiellement correct. Il est possible de collecter ce genre d'informations par voie manuelle ou, pour un développeur, de réunir automatiquement ces renseignements avec l'API. Mais cela n'empêche pas que Clubhouse a fait preuve de laxisme. Idéalement, une plate-forme doit en effet veiller à ce qu'une API ne puisse être abusée à des fins de 'scraping' (collecte d'infos publiques). C'est possible par exemple en limitant le nombre de demandes automatiques.

Clubhouse est un réseau social assez récent, basé surtout sur l'audio. Les utilisateurs aboutissent dans des espaces, où ils peuvent dialoguer. Le réseau ne fonctionne provisoirement que sur l'iPhone.

Une sécurité vraiment laxiste

En fournissant ces explications, Clubhouse imite ce que LinkedIn et Facebook ont fait ces deux dernières semaines, après que les données de 500 millions d'utilisateurs (tant chez LinkedIn que chez Facebook) soient apparues en ligne. Chez LinkedIn on déclara bien vite qu'il s'agissait de données agrégées qui étaient disponibles publiquement. Mais ici, on ne sait pas clairement si l'entreprise s'est opposée activement au 'scraping'.

Chez Facebook, on a eu droit au même genre de réaction, sauf qu'il s'agissait dans ce cas d'informations non collectées publiquement au moyen d'un truc consistant à retrouver le numéro de téléphone de quelqu'un. Facebook affirme ne l'avoir découvert qu'en 2019, malgré l'existence d'une preuve qu'elle avait été informée de ce type de pratiques en 2017 déjà. Facebook s'est abstenue jusqu'à présent de tout autre commentaire en vue d'apporter des éclaircissements sur cette affaire.

En résumé, la fuite de données chez Clubhouse n'est pas la pire qui soit, mais le fait que l'entreprise même minimise le problème, est révélateur d'une politique de confidentialité et de sécurité déficiente. Les données sont certes publiques, mais pouvoir les collecter massivement rend les utilisateurs de l'appli davantage vulnérables au hameçonnage ('phishing') ou aux escroqueries.

Le site technologique Cybernews signalait le week-end dernier avoir découvert les données d'1,3 million d'utilisateurs Clubhouse. Il ne s'agissait pas de mots de passe ou de communications privées, mais bien d'ID, noms, photos, profils sur d'autres comptes de médias sociaux, ainsi que de différents détails.Paul Davidson, CEO de Clubhouse, nuance cette soi-disant fuite de données: 'C'est trompeur et faux. Il n'y a pas eu d'intrusion ou de piratage chez Clubhouse. Les données auxquelles il est fait référence, sont toutes des informations publiques de notre appli, auxquelles tout un chacun a accès via l'appli ou une API.'C'est partiellement correct. Il est possible de collecter ce genre d'informations par voie manuelle ou, pour un développeur, de réunir automatiquement ces renseignements avec l'API. Mais cela n'empêche pas que Clubhouse a fait preuve de laxisme. Idéalement, une plate-forme doit en effet veiller à ce qu'une API ne puisse être abusée à des fins de 'scraping' (collecte d'infos publiques). C'est possible par exemple en limitant le nombre de demandes automatiques.Clubhouse est un réseau social assez récent, basé surtout sur l'audio. Les utilisateurs aboutissent dans des espaces, où ils peuvent dialoguer. Le réseau ne fonctionne provisoirement que sur l'iPhone.En fournissant ces explications, Clubhouse imite ce que LinkedIn et Facebook ont fait ces deux dernières semaines, après que les données de 500 millions d'utilisateurs (tant chez LinkedIn que chez Facebook) soient apparues en ligne. Chez LinkedIn on déclara bien vite qu'il s'agissait de données agrégées qui étaient disponibles publiquement. Mais ici, on ne sait pas clairement si l'entreprise s'est opposée activement au 'scraping'.Chez Facebook, on a eu droit au même genre de réaction, sauf qu'il s'agissait dans ce cas d'informations non collectées publiquement au moyen d'un truc consistant à retrouver le numéro de téléphone de quelqu'un. Facebook affirme ne l'avoir découvert qu'en 2019, malgré l'existence d'une preuve qu'elle avait été informée de ce type de pratiques en 2017 déjà. Facebook s'est abstenue jusqu'à présent de tout autre commentaire en vue d'apporter des éclaircissements sur cette affaire.En résumé, la fuite de données chez Clubhouse n'est pas la pire qui soit, mais le fait que l'entreprise même minimise le problème, est révélateur d'une politique de confidentialité et de sécurité déficiente. Les données sont certes publiques, mais pouvoir les collecter massivement rend les utilisateurs de l'appli davantage vulnérables au hameçonnage ('phishing') ou aux escroqueries.