Vous faites une réservation d’hôtel ou un achat dans votre magasin préféré, le tout via une application. Vous découvrez alors que ces actions ont été enregistrées, presque comme si quelqu’un avait filmé votre smartphone. On dirait une scène du Black Mirror, non ? Mais c’est un vrai problème : TechCrunch révèle que plusieurs applications iPhone de sociétés renommées comme Air Canada, Hollister et Expedia espionnent les utilisateurs.
Tout commence avec Glassbox, une société d’analyse de l’expérience des utilisateurs. Sur votre site web, vous pouvez trouver la phrase suivante (en traduction libre) : “imaginez si votre site web ou votre application mobile pouvait voir exactement ce que font vos clients en temps réel et pourquoi ils le font. Ce n’est pas exagéré, la société offre même ce genre de service.
Il s’agit d’une technique de rediffusion de session. L’application qui dispose de ce type de ressources sauvegarde l’écran de l’utilisateur et reproduit les actions effectuées. Ainsi, les développeurs peuvent analyser la manière dont les utilisateurs interagissent avec l’application. C’est un moyen de savoir, par exemple, s’il y a un défaut de conception ou quelque chose qui peut être ajusté dans l’interface pour améliorer l’expérience de l’utilisateur.
Plusieurs entreprises utilisent la technologie de session de rediffusion Glassbox, telles que Abercrombie Fitch, Hotels.com, Singapore Airlines et les compagnies susmentionnées Air Canada, Hollister et Expedia. Le problème est que, sinon toutes, la plupart de ces sociétés n’informent pas dans les conditions d’utilisation que les actions de l’utilisateur dans l’application peuvent être enregistrées et envoyées à leurs propres serveurs ou à Glassbox.
Pour aggraver les choses, certaines applications ne cachent pas les données sensibles de l’utilisateur dans les enregistrements. L’analyste de l’application a utilisé un outil d’homme au milieu (pour l’interception des données) et a constaté que toutes les applications ne masquent pas correctement les champs contenant des données utilisateur sensibles dans les captures.
Comme le montre la vidéo ci-dessous, c’est ce qui s’est passé avec l’application Air Canada. Bien que l’outil tente de masquer les champs de données tels que le numéro de passeport, la carte de crédit et les mots de passe par des bandes noires, cette protection échoue souvent.
Le pire, c’est que l’utilisateur n’a aucune idée que ses actions avec l’application sont enregistrées. Il n’y a pas d’avertissements dans l’application, de notifications sur le système ou d’alertes sonores ? le logiciel Glassbox ne nécessite aucune autorisation spéciale pour travailler sur iOS.
Toutes les entreprises mentionnées étaient recherchées par TechCrunch, mais seules deux ont répondu. Abercrombie, qui représente également Hollister, a confirmé qu’elle utilise la technologie Glassbox afin “d’identifier et de résoudre les problèmes que les clients peuvent rencontrer dans leur expérience numérique”.
Air Canada a expliqué qu’ils utilisent les informations sur les clients pour répondre à leurs besoins de voyage et s’assurer que la compagnie peut résoudre les problèmes éventuels. “Toutefois, Air Canada ne saisit pas d’informations en dehors de son application”, précise la dernière partie de la note.
Mais ce n’est pas suffisant. En plus des données confidentielles des utilisateurs mises à la disposition des employés, il existe un danger latent de fuite de ces informations lors d’une éventuelle attaque.
Air Canada elle-même en a fait l’expérience récemment : en août 2018, les données de 20 000 clients de la compagnie ont fui en raison d’une défaillance de son application mobile. Apparemment, l’épisode n’était pas lié à la technologie Glassbox, mais qu’est-ce qui garantit qu’il n’en sera pas autrement dans d’éventuels incidents à l’avenir ?
Vu la gravité de l’affaire, il est quelque peu surprenant qu’Apple ne soit pas intervenu, notamment parce que Glassbox n’est pas le seul à le faire : des sociétés comme UXCam et Appsee travaillent également avec des technologies de rediffusion de session.