Snapchat n'a pas tenu ses promesses

Lancé en septembre 2011 par trois étudiants de l'université de Stanford, Snapchat doit (encore !) faire face à une fuite de données. Alors que l'appli a toujours soutenu mordicus que ses fameux "snaps" disparaissaient à jamais, l'actualité prouve que la vie privée de ses utilisateurs est le cadet de ses soucis.

Snif.

Méh

Interviewé le 11 octobre à propos de la préservation de sa vie privée, Edward Snowden déclarait : "laissez tomber Dropbox, Facebook et Google". Il semblerait qu'il ait oublié de citer Snapchat.

Ce weekend, les 11 et 12 octobre, des milliers de photos et vidéos privées issues du service de messagerie ont été postées sous forme d'un dossier de 13 Go à télécharger sur le site viralpop.com, fermé depuis. On parle de 90 000 photos et 9 000 vidéos ici, de 200 000 par là... Bref, on n'est pas certain du nombre exact, mais ça fait quand même beaucoup.

La preuve : après le "Fappening" qui dévoilait fin septembre des photos de nu de célébrités hébergées initialement sur iCloud, cette fuite de données de gens lambda est perçue comme un événement important qui a déjà son sobriquet : le "Snappening".

Le problème, avec Snapchat, c'est que selon les dernières informations publiées par l'entreprise l'année dernière, une part considérable de ses utilisateurs (qu'on estime à plus de 100 millions) est composée de mineurs. Alors que la société reste assez discrète sur ses chiffres, on peut estimer qu'entre 71% et 81% de son public est âgé de moins de 25 ans... et même que 50% serait mineur. Selon 01net, le leak est parti du forum 4Chan, sur lequel les hackers, "en guise de preuve, [...] ont fourni un petit nombre d’images de personnes très légèrement vêtues."

Mensonges

La discrétion, justement, c'était la promesse de base de Snapchat, qui faisait miroiter une confidentialité maximale : les photos envoyées, les fameux "snaps", ont une durée de vie comprise entre une et dix secondes... du moins, c'est ce que l'appli a toujours voulu faire croire. En mai 2014, la sanction venait d'en haut : la Federal Trade Commission (FTC) américaine jugeait que la petite entreprise se rendait coupable de mensonge.

Il aura donc fallu deux ans et demi pour se rendre compte que les snaps, censés “disparaître pour toujours”, restent en fait bien au chaud dans la mémoire du téléphone. Selon Time, les vidéos envoyées via l’appli sont “facilement accessibles” en pluggant le smartphone destinataire à un ordinateur. La plainte de la FTC porte aussi sur les captures d’écran réalisées par les détenteurs d’iPhone.

Logiquement, toute capture d’écran d’un snap par le destinataire doit être notifiée à l’émetteur. Or, selon la FTC, ce n’est pas systématiquement le cas, et le simple fait de pouvoir sauvegarder une capture d'écran brise les propres règles fixées par Snapchat auprès de ses utilisateurs.

Snapchat tente l'esquive

Mais quelle est la responsabilité de Snapchat dans la fuite de ces dizaines de milliers d'images dont des sources insistent sur le fait qu'il s'agit de nombreuses photos de nu ? Toujours aussi fière sous sa cape de fantôme, l'entreprise martèle qu'aucun hacker ne s'est introduit dans ses serveurs et se défend sur l'air du "c'est pas moi, c'est eux" :

Les serveurs de Snapchat n'ont pas été pénétrés et ne sont pas la source de ces fuites. Ces snapchatteurs ont été victimes de l'utilisation d'applications de tierce-partie pour envoyer et recevoir des snaps, une pratique que nous interdisons expressément dans nos conditions d'utilisation précisément parce qu’elle compromet la sécurité de nos utilisateurs.

Snapchat détourne l'attention vers deux cibles. Tout d'abord l'appli Snapsave, qui permet d'enregistrer automatiquement un contenu éphémère reçu par Snapchat. Mais aussi www.SnapSaved.com, un site Internet qui sauvegardait en ligne les snaps reçus par un utilisateur. Business Insider rapporte que le développeur de Snapsave Georgie Casey nie toute responsabilité à son tour ; en ce qui concerne www.SnapSaved.com, le site n'existe plus depuis plusieurs mois et fait place désormais à un site d'e-commerce de produits électroménagers danois.

"Sécurité ? Quelle sécurité ?"

Quoi qu'il en soit, Snapchat ne devrait pas trop la ramener. Sous ses dehors d'application de messagerie alternative, plaçant l'éphémère et la vie privée au cœur de ses préoccupations, les différents revers reçus en si peu de temps montrent que le service n'est pas sûr. Mais alors pas sûr du tout.

A la toute fin de l'année 2013, quelques hackers s'offraient Snapchat en cadeau de Noël. Ainsi, ils pirataient 4,6 millions de comptes, principalement pour sensibiliser les utilisateurs à la fragilité des systèmes de sécurité de Snapchat. Leur avertissement était alors le suivant :

Notre objectif principal est de sensibiliser le public sur la façon dont de nombreuses entreprises sur Internet disposent des données de l’utilisateur de manière téméraire. C’est un objectif secondaire pour eux, et cela ne devrait pas être le cas. Vous ne voulez pas manger dans un restaurant qui dépense des millions dans la décoration, mais presque rien dans l’hygiène.

Mais il n'y a pas que de dangereux hackers voleurs de données et la FTC pour taper sur les doigts de Snapchat. Le 15 mai 2014, l'Electronic Frontier Foundation dévoilait son classement (PDF) des services les plus craignos en matière de sécurité de la vie privée. Le service de photos pas-si-éphémères-que-ça-finalement se voyait couronner pire appli du genre.

Aussi, la plainte de la FTC américaine ne portait pas uniquement sur les captures d'écran. Autres problèmes, la plateforme aurait également collecté des informations de géolocalisation de ses utilisateurs Android : une autre violation de sa propre politique de confidentialité... et de ses promesses envers les utilisateurs.

De plus, Snapchat n’aurait pas eu de scrupules à accéder aux numéros de téléphone des amis de nombreux abonnés… sans que les utilisateurs soient au courant, et ce jusqu’à la version iOS 6. Mieux encore, des failles de sécurité dans la fonction ”Rechercher des amis” conduisent à l’envoi par inadvertance de clichés à des inconnus en utilisant des numéros qui ne leur appartenaient pas.

Edith Ramirez, présidente de la FTC, avait alors cette phrase lapidaire :

Si une entreprise vend un service fondé sur la sécurité et la confidentialité, c’est essentiel qu’elle tienne ses promesses.

Affreux vilain metalhead incurable, aussi rédac' chef du webzine Hear Me Lucifer.