featuredImage

Le "session replay", quand des applis d’iPhone enregistrent votre écran sans prévenir

Selon TechCrunch, des applications comme Hotels.com ou Expedia utilisent Glassbox, un outil qui permet d’enregistrer l’activité d’un écran d’iPhone.

(© Unsplash)

"Imaginez que votre site ou votre appli mobile voie exactement ce que vos consommateurs font en temps réel, et pourquoi ils le font ?" : cette question aux accents furieusement dystopiques, que personne ne s’est probablement jamais posée à part le cerveau malade d’un directeur des ventes ou d’un data analyst, c’est le pitch de Glassbox, un service qui permet à vos applis préférées d’enregistrer tout ce qui se passe sur votre écran – votre navigation, où vous cliquez, où vous touchez, où vous swipez, où vous regardez, etc. — sans avoir besoin de vous demander la permission.

Ça vous inquiète ? C’est normal. Après tout, le fait que vos applis siphonnent vos données personnelles et en tirent du profit est certes devenu parfaitement trivial, mais qu'elles puissent littéralement enregistrer le moindre déplacement de votre index sur votre écran d’iPhone, c’est autre chose.

C’est pourtant ce que révèle TechCrunch le 7 février : sur iPhone, les applications d’entreprises populaires comme Air Canada, Expedia, Hotels.com ou Abercrombie & Fitch, ainsi qu’un certain nombre de "sites de voyage, compagnies aériennes, fournisseur d’accès téléphonique, banques et applis de finance", utilisent des dispositifs comme Glassbox ou similaires pour savoir exactement ce que vous faites sur votre téléphone.

Fuite de données indétectable

Tout commence, écrit TechCrunch, par la découverte effectuée par The App Analyst, un expert de l’écosystème mobile qui écrit, sur son blog, qu’Air Canada utilise mal cette pratique d’enregistrement de l’écran de ses clients, appelée "session replay", et laisse à découvert les numéros de passeport et de carte de crédit de ses clients lorsque les sessions sont envoyées aux analystes.

Pire : Air Canada vient de souffrir d’une brèche de confidentialité qui a exposé 20 000 profils, ce qui permet à quiconque ayant mis la main dessus de parcourir la base de données de ses sessions utilisateurs, qu’on imagine dûment stockées sur les serveurs de la compagnie aérienne.

Et si pratique n’était pas l’apanage d’Air Canada ? Pour le savoir, TechCrunch demande à The App Analyst de s’intéresser à la (petite) liste de clients revendiquée par Glassbox. Grâce à un outil dit de man-in-the-middle, l’analyste peut rapidement analyser toutes les données qui sortent du téléphone en fonction de chaque application.

Ses conclusions sont claires : certaines applis qui utilisent Glassbox ne chiffrent pas les données de "session replay" qui sortent du téléphone. Pire, aucune application ne prévient l’utilisateur que ses moindres mouvements sont enregistrés et envoyés sur un serveur pour analyse.

TechCrunch l’affirme, sans ce type d’outil de man-in-the-middle, il est parfaitement impossible de détecter ce que font ces applications, et leurs CGU ne le mentionnent nulle part.

Session replay, un marché (presque) totalement légal aux yeux du RGPD

Or, Glassbox n’est pas la seule start-up à proposer ce service de session replay, poursuit TechCrunch : tout un écosystème d’entreprises existe, comme Appsee, UXCam, Mixpanel, la référence Fullstory et des dizaines d’autres, qui travaillent avec des milliers de clients sur le Web et sur mobile. Depuis 2014, le session replay est partout.

En 2017, des chercheurs de Princeton démontraient que 482 sites parmi les plus populaires au monde utilisaient ce type de service en plus de keyloggers, des petits programmes qui enregistrent tout ce que vous tapez sur votre clavier. En France, une entreprise comme Contentsquare, par exemple, propose un service de "session replay avancé" et affiche des clients comme Showroom Privé, Oui (le service de la SNCF), Leroy Merlin ou Ouest-France… Il existe bien quelques solutions et extensions pour s’en prémunir, mais la technologie évolue constamment.

Mais attendez, me dites-vous, comment une pratique pareille, sans consentement, peut-elle être compatible avec le RGPD ? La réponse se trouve sur le site de Fullstory : "Une session non identifiée est tout simplement non identifiable, et le fait d’enregistrer cette session dans le but de procéder à un session replay est OK."

Pas folle, l’entreprise ajoute néanmoins qu'"il est possible de capturer passivement des données sensibles et/ou personnelles en enregistrant des formulaires ou pages sur laquelle sont entrées ou affichées des données". Fullstory conseille donc à ses clients de bien vérifier leur propre site Web avant de lancer l’enregistrement, de bien vérifier que les données sont chiffrées et anonymisées, et leur suggère de demande le consentement – tout en rappelant que s’ils la jouent fine, ce ne sera pas légalement nécessaire.

Autant dire qu’au vu des avantages d’un tel service pour l’amélioration de services Web, les entreprises ne sont pas près de l’abandonner. Souriez, vous êtes observés.

Mise à jour du 8 février : A la suite de l'article de TechCrunch, Apple a réagi en expliquant au magazine que le "session replay" n'était pas conforme aux conditions d'hébergement des applications dans l'App Store, qui stipule clairement la nécessité d'obtenir le consentement spécifique de l'utilisateur. "Nous avons informé les développeurs qui violent ces politiques de confidentialité et nous prendrons des mesures immédiates si nécessaires", a indiqué le porte-parole de l'entreprise. Après avoir sévi contre Facebook et Google pour de similaires infractions aux CGU de l'App Store, Apple continue donc de jouer les chevaliers blancs de la vie privée sur son territoire.

Par Thibault Prévost, publié le 08/02/2019