Cet article est également disponible en : Anglais

Clubhouse est un réseau ultra privé, mais les risques en matière de confidentialité en valent-ils la peine ?

Cet article est également disponible en : Anglais

Quels sont les risques de la nouvelle application dont tout le monde parle – et que tout le monde écoute.

Clubhouse, la célèbre application de réseautage social entièrement vocale, est de plus en plus décriée pour ses politiques de confidentialité et plus récemment, pour avoir « exposé » des données à grande échelle.

Les données personnelles, dont les pseudos de réseaux sociaux, les noms, photos et coordonnées de quelques 1,3 million d’utilisateurs ont été compromises suite à un incident récent. Sur son compte Twitter officiel, Clubhouse a déclaré qu’employer les termes faille de données, fuite ou piratage serait trompeur et mensonger, car ces informations font déjà partie de l’API publique de l’application.

Et bien que tous les utilisateurs de l’application Clubhouse puissent accéder à ces informations, ces derniers ne sont pas très satisfaits de la réponse apportée par l’entreprise. Selon les experts en sécurité, ce type de « fuite de données », banalisé par le fait que les informations sont déjà publiquement disponibles, expose tout de même les utilisateurs à des fraudes de type phishing ou ingénierie sociale.

« On a déjà vu des situations comme celles-ci : Facebook avec Cambridge Analytica et même la récente « faille » de LinkedIn qui était basée sur de l’extraction de données des profils publics », explique le directeur technique de Dashlane, Frédéric Rivain. « Les paramètres de confidentialité sont souvent trop compliqués et ne sont pas définis par défaut sur les réglages les plus privés. Les utilisateurs ne sont pas suffisamment informés sur ce qui est partagé publiquement ou non. »

Dans un article récent, Status a qualifié Clubhouse de « catastrophe en matière de confidentialité » et a indiqué que l’application arrive juste derrière Facebook en ce qui concerne leur conformité. Nous passons au crible la politique de confidentialité de Clubhouse pour déterminer si les utilisateurs peuvent faire confiance à l’application les yeux fermés ou non.

Qu’est-ce que Clubhouse ?

Si vous n’en avez pas encore entendu parler, Clubhouse est un réseau social sur invitation, où les utilisateurs peuvent créer des « salons » virtuels et organiser des conférences, cours, groupes de réseautage et autres, en direct et sous forme vocale uniquement. Les utilisateurs créent un profil sur son interface très soignée et peuvent ensuite rejoindre et créer différents « clubs » et salons dans ces clubs.

Parmi les aspects les plus intéressants de Clubhouse : les conversations disparaissent dès que les sessions s’achèvent. Tous les échanges vocaux par le biais l’application ont lieu en temps réel. Clubhouse est aussi le terrain d’expression des célébrités : écouter un TED Talk animé en temps réel par Lindsey Lohan directement sur le haut-parleur de votre téléphone, en sachant que seules les personnes présentes dans le salon y ont accès, a un côté grisant, en particulier en ces temps difficiles où l’isolement s’impose.

Clubhouse a rapidement gagné en popularité parmi les plateformes de réseaux sociaux et compte aujourd’hui 10 millions d’utilisateurs, dont des célébrités, des créatifs ou encore l’inclassable Elon Musk. L’application est actuellement en train de déployer un programme de subvention pour soutenir les auteurs et a lancé un programme spécial pour aider les futurs animateurs à créer des plateformes plus étendues. Désolé pour les utilisateurs d’Android, mais Clubhouse est uniquement disponible sur iOS pour le moment.

Comme quasiment tous les outils gratuits disponibles sur Internet, vous ne payez rien pour accéder à Clubhouse, mais vous en payez le prix avec vos données personnelles.

Que dit la politique de confidentialité de Clubhouse ?

Maintenant que nous vous avons donné envie de télécharger l’application sans plus attendre, intéressons-nous plutôt aux risques de sécurité qu’elle pose.

Comme quasiment tous les outils gratuits disponibles sur Internet, vous ne payez rien pour accéder à Clubhouse, mais vous en payez le prix avec vos données personnelles. Il est recommandé de regarder de plus près les conditions d’utilisation et les politiques de confidentialité de toute application que vous téléchargez. Vous êtes alors plus à même de prendre une décision éclairée sur l’ampleur des données que vous êtes prêt(e) à divulguer pour pouvoir utiliser l’application. Voici un résumé de certaines des données recueillies par Clubhouse, selon leur politique de confidentialité, qui valent peut-être la peine d’y réfléchir à deux fois.

Vos contacts en libre service

Les utilisateurs s’inscrivent et invitent les autres par texto. Clubhouse a accès aux contacts de votre téléphone si vous autorisez la synchronisation avec votre appareil, si vous chargez vos contacts ou importez des informations à partir de votre téléphone. Vous l’avez peut-être accepté sans le savoir lors de votre inscription, car les premières versions de l’application vous obligeaient à charger vos contacts afin de pouvoir envoyer des invitations. Les premiers temps, vous ne pouviez pas envoyer d’invitation à quelqu’un qui ne figurait pas dans vos contacts et vous ne pouviez pas non plus choisir avec qui partager l’application.

Mais depuis le 12 mars 2021, Clubhouse ne vous demande plus un accès total à votre liste de contacts afin de pouvoir inviter quelqu’un. Quand bien même, il est possible qu’un utilisateur qui dispose de votre numéro dans ses contacts ait donné accès à l’application sur son téléphone, et vous pourriez très bien figurer dans la base de données de Clubhouse même si c’est la première fois que vous en entendez parler.

Une fois que vous avez chargé vos contacts, Clubhouse vous recommande des personnes à inviter sur l’application. L’application sait aussi combien de personnes ont le numéro de téléphone de chacun de vos amis sur leur propre téléphone. Par exemple, elle vous indiquera « Inviter Alex Dupont sur Clubhouse (53 amis sur Clubhouse) ». Cela signifie que 53 personnes sur Clubhouse ont le numéro de téléphone d’Alex Dupont dans leurs contacts et qu’elles ont autorisé Clubhouse à consulter leur carnet d’adresses.

On garde l’œil sur votre utilisation

L’application recueille les données d’utilisation, notamment le type de contenu avec lequel vous interagissez ou que vous consultez, ainsi que « les fonctionnalités que vous utilisez, les actions que vous réalisez, et l’heure, la fréquence et la durée de vos activités. » Clubhouse sait donc avec qui vous interagissez sur la plateforme ainsi que la nature de ces interactions, combien de temps vous interagissez avec un groupe par exemple, ou un autre compte, une personne ou un club, ainsi que le navigateur ou l’appareil utilisé.

L’entreprise prétend faire un « effort commercial raisonnable » pour activer les signaux Do Not Track (ne pas suivre), bien que, selon les vérifications de Status, il est impossible d’activer ce signal au sein de l’application.

Les paramètres de confidentialité sont souvent trop compliqués et ne sont pas définis par défaut sur les réglages les plus privés. Les utilisateurs ne sont pas suffisamment informés sur ce qui est partagé publiquement ou non.

Frédéric Rivain, directeur technique de Dashlane

Les applications tierces génèrent des failles supplémentaires

Si vous authentifiez une autre application telle que Twitter via Clubhouse, celle-ci peut « recueillir, stocker et modifier les informations associées à ce compte tiers, comme vos listes d’amis ou vos abonnés. » En bref, ce que Twitter sait de vous, Clubhouse le saura aussi, si vous lui donnez l’autorisation.

Vos conversations ne sont pas totalement éphémères

Vous : Une seconde, vous aviez dit qu’aucun enregistrement ne subsistait une fois la session terminée !

Nous : Oui, c’est fâcheux. Les conversations ne sont plus accessibles pour nos petites personnes, mais les développeurs en disposent encore. Et peut-être même… la Chine ?

D’après leur politique de confidentialité, Clubhouse enregistre et conserve temporairement les conversations des sessions live, « à des fins exclusives d’analyse et de résolution d’incidents. » Les enregistrements sont consultés si un utilisateur signale un incident qui enfreint la « confiance et la sécurité » et sont supprimés une fois l’enquête terminée. Ces enregistrements temporaires sont chiffrés et, selon la politique, le son provenant des utilisateurs dont le micro est coupé n’est pas enregistré ni conservé.

Comme l’a récemment écrit Status, le son enregistré sur Clubhouse passe par des applications tierces, qui n’ont aucune obligation de supprimer vos données personnelles. L’article mentionne également que les conversations Clubhouse sont « chiffrées côté serveur », ce qui signifie que ces tiers peuvent déchiffrer les données. D’après la politique de confidentialité de l’application, ces fournisseurs tiers peuvent inclure « des fournisseurs de services d’hébergement, des applications et infrastructures audio [et] des services cloud ».

Le son enregistré sur Clubhouse passe par des applications tierces, qui n’ont aucune obligation de supprimer vos données personnelles.

Mais fait encore plus alarmant : le manque d’infrastructure sécurisée dans l’application, comme l’a découvert le Stanford Internet Observatory et l’a ensuite signalé Bloomberg. La start-up Agora Inc., basée à Shanghai, fournit l’infrastructure back-end de Clubhouse. En tant qu’entreprise chinoise (bien qu’elle ait des bureaux dans la Silicon Valley), Agora Inc. est tenue par la loi d’« aider le gouvernement à localiser et stocker » les messages vocaux qui compromettent la sécurité nationale de la Chine, selon les autorités. Alors que Clubhouse a gagné en popularité en Chine, les inquiétudes pour la confidentialité des utilisateurs chinois ont été soulevées et à juste titre. Les identifiants utilisateur de Clubhouse, une séquence de chiffres (et non pas un pseudo), sont transmis sur Internet en texte brut. SIO explique dans une discussion Twitter que ces séquences de chiffres peuvent être facilement interceptées par quiconque surveille le trafic Internet pour identifier à qui parlent les utilisateurs.

Agora a indiqué à Bloomberg qu’elle « n’est pas autorisée à partager ou à stocker les données personnellement identifiables sur les utilisateurs finaux. Le trafic audio ou vidéo des utilisateurs non basés en Chine – y compris aux États-Unis – n’est jamais redirigé vers la Chine. » Pourtant, si des métadonnées non chiffrées sont transmises sur des serveurs dans la République populaire de Chine, le gouvernement chinois pourrait en théorie accéder à ces données, avec ou sans Agora.

Encore d’après Bloomberg, un chercheur en chef chez Trend Micro, Frederico Macci, a découvert que la bibliothèque logicielle d’Agora sur laquelle s’appuie Clubhouse est obsolète, ce qui signifie non seulement que son chiffrement est compromis, mais que cette version envoie des données en Chine via plusieurs adresses IP codées en dur. Clubhouse est théoriquement interdite en Chine en raison des initiatives gouvernementales visant à censurer certains sujets abordés dans l’application, mais les utilisateurs de Chine continentale peuvent continuer d’y accéder avec un VPN.

Alors, à quoi servent toutes ces données ?

D’après Clubhouse, l’entreprise peut utiliser vos données de plusieurs façons, et notamment :

  • Pour faciliter le réseautage, recommander du contenu et personnaliser davantage le service pour vous
  • Pour développer de nouveaux produits et services
  • En les partageant pour vous proposer des publicités ciblées

Clubhouse prétend ne pas vendre les données qu’elle recueille. Dans ce cas, comment Clubhouse gagne-t-elle de l’argent ?

Pour faire court, elle n’en gagne pas. Pour le moment.

Actuellement, il est possible de rejoindre Clubhouse gratuitement et l’application ne diffuse aucune publicité. Mais l’entreprise, valorisée à 4 milliards de dollars, a récemment lancé un abonnement payant à l’instar de Patreon, grâce auquel les utilisateurs peuvent faire payer des abonnés pour recevoir du contenu exclusif. Pour l’instant, Clubhouse ne prend pas de commission sur ces paiements. Les créateurs de contenu reçoivent 100 % des fonds versés par les abonnés via des paiements directs, bien que les utilisateurs doivent s’acquitter de frais de traitement auprès de Stripe, un partenaire de Clubhouse. Le déploiement initial de cette nouvelle fonctionnalité permet seulement à un petit groupe d’utilisateurs d’accepter des paiements.

Mais la réalité de l’affirmation de l’entreprise, selon laquelle elle ne vend pas de données utilisateur, est surveillée de près. Un certain nombre de régulateurs en Europe ont lancé une enquête sur Alpha Exploration Co., la société mère de Clubhouse, pour déterminer si l’application est en conformité ou non avec le RGPD. L’enquête fait suite à une pétition fondée sur des craintes concernant la politique de confidentialité de Clubhouse, et qui soutient que l’application revend une « liste secrète » des contacts des utilisateurs à des tierces parties.

La validité de l’affirmation de l’entreprise, selon laquelle elle ne vend pas de données utilisateurs, est surveillée de près. Une enquête est en cours sur des affirmations selon lesquelles Clubhouse vendrait une « liste secrète » des contacts des utilisateurs à des tierces parties.

Ce que vous pouvez faire

Si vous souhaitez reprendre le contrôle sur vos paramètres de sécurité dans Clubhouse, vous avez deux solutions :

  1. Accédez aux réglages de votre iPhone, faites défiler jusqu’à Clubhouse. Sous Autoriser Clubhouse à accéder à, désactivez Contacts.
  2. Dans l’application Clubhouse, appuyez sur Paramètres, la roue dentée dans le coin supérieur droit. Appuyez sur Compte, puis déconnectez vos comptes Twitter et Instagram.

Il est fort probable que la politique de confidentialité de l’application change régulièrement et que cette dernière trouve un moyen de monétiser son service. Tenez-vous au courant de l’évolution de leurs politiques et de leur stratégie commerciale.

    Dashlane

    L'application Dashlane simplifie chaque aspect de votre vie numérique. Elle vous permet de générer des mots de passe forts et aléatoires pour chacun de vos comptes et de saisir automatiquement vos identifiants, données personnelles et informations de paiement en toute sécurité. Dashlane peut être utilisée sur tous vos appareils et est compatible avec les principaux systèmes d'exploitation pour vous offrir une navigation plus simple, plus rapide et plus sécurisée.

    En savoir plus