Entre un accès un peu trop intrusif au carnet d’adresses de ses utilisateurs et un prestataire chinois pour son backend, l’application Clubhouse inquiète en ce qui concerne la protection des données et de la vie privée. Son éditeur promet des changements.
Toute application soudainement célèbre fait l’objet d’un examen accru de la part des chercheurs en sécurité et des spécialistes de la protection des données. Ce fut le cas de Zoom, dont les nombreuses défaillances ont été pointées du doigt au début de la pandémie, et c’est désormais au tour de Clubhouse. Cette application, accessible uniquement sur invitation, permet de converser à l’écrit et à l'oral et a connu un succès inattendu ces dernières semaines, notamment grâce à la publicité offerte par Elon Musk.
L’application, disponible uniquement sur iOS, est de l’avis de certains un peu trop intrusive, réclamant notamment l’accès au carnet d’adresses de ses utilisateurs. Pire encore, l’Internet Observatory de Stanford vient d’enquêter sur Clubhouse, confirmant que son backend est fourni par une société chinoise, Agora. Or Pékin a récemment bloqué l’accès à son application depuis son sol alors que le nombre d’utilisateurs chinois augmentait et les débats autour de Taïwan et des Ouïghours s’enflammaient sur la plateforme.
L’oeil de Pékin
Pour le groupe de chercheurs de Stanford, les failles de Clubhouse pourraient permettre à Pékin de surveiller les conservations sur l’application. Car les données, enregistrements audio compris, transitant par le biais de l’infrastructure d’Agora, ne sont pas chiffrées. Ce qui, selon l’Internet Observatory, autorise n’importe qui ayant accès au réseau d’Agora de consulter quels utilisateurs étaient présents dans quel canal de discussion, et la teneur des échanges qui s’y sont tenus.
Auprès de Reuters, Agora se défend de toute interception de ces données, assurant “ne pas avoir accès aux données des utilisateurs de Clubhouse” et ajoutant ne pas “fournir de données au gouvernement chinois” ni “déplacer des données d’utilisateurs américains vers la Chine”. Et ce quand bien même Clubhouse reconnaît dans une communiqué que “les pings réseau contenant l'ID utilisateur sont envoyés aux serveurs du monde entier - qui peuvent inclure des serveurs en Chine - pour déterminer l'itinéraire le plus rapide vers le client”.
L’éditeur assure avoir à cœur “la protection des données et la confidentialité des utilisateurs” et promet des changements à venir dans les prochaines heures. “Nous déployons des changements pour ajouter un cryptage supplémentaire et des blocs pour empêcher les clients Clubhouse de transmettre des pings aux serveurs chinois. Nous prévoyons également d'engager une société de sécurité des données externe pour examiner et valider ces changements”.