Brèves d’été du 8 août au 21 août

Bonsoir,

Les dernières brèves d’été par le Collectif sont désormais disponibles, n’hésitez pas à les lire si vous voulez vous aérer l’esprit.

Nous espérons que la fin de votre été se passe pour le mieux.

Passez une excellente semaine et à très vite pour découvrir le nouveau collectif.

Le Collectif.

L’envers du navigateur web intégré

 AFP – Jakub Porzycki / NurPhoto

L’utilisation d’un navigateur web intégré à une application présente de nombreux avantages, dont ceux de la rapidité et de la simplicité. Toutefois, il semble que certaines applications mobiles détournent à leur profit ce système. L’ingénieur et chercheur en sécurité informatique Felix Krause a démontré que des navigateurs web intégrés permettent de suivre la navigation des utilisateurs.

Au cours de ces recherches, il a mis en lumière que les applications de réseau social du groupe Meta et le réseau social Tiktok recourent à de telles pratiques sans le consentement et l’avertissement des utilisateurs. 

Tiktok enregistre tout !

Le navigateur web intégré de l’application enregistre chaque frappe du clavier sur des sites Web tiers, selon Felix Krause. 

Une porte-parole du réseau social TikTok a confirmé au magazine Forbes la présence d’un tel code dans le navigateur web intégré en apportant toutefois des nuances :

– « Comme d’autres plateformes, nous utilisons un navigateur intégré à l’application pour offrir une expérience utilisateur optimale, mais le code Javascript en question n’est utilisé que pour le débogage, le dépannage et la surveillance des performances de cette expérience, comme vérifier la vitesse de chargement d’une page ou si elle se bloque ».

Pourtant, l’impossibilité, contrairement à d’autres applications, de changer de navigateur simplement et la politique chinoise en matière de surveillance de masse laisse peu de doute quant aux motivations de l’entreprise chinoise.

Meta surveille tout !

Lors de la navigation sur le navigateur web intégré à l’application, Instagram et Facebook surveilleraient l’ensemble des interactions (les sélections de texte, les clics, les frappes du clavier). Dès lors, le groupe Meta peut connaître les mots de passe, les numéros d’une carte bancaire, et de nombreuses autres données (très) sensibles.

Pour ce faire, les deux applications insèrent un code JavaScript de suivi pour toutes les pages web vues à l’aide du navigateur web intégré. 

Felix Krause affirme que le groupe Meta a une capacité totale de surveillance des interactions des utilisateurs sans autorisation :

– « Cela permet à Instagram d’espionner tout ce qui se passe sur les sites web externes sans le consentement de l’utilisateur ni du fournisseur du site web. L’application Instagram injecte son code de suivi dans tous les sites web affichés, y compris lorsqu’on clique sur des publicités, ce qui lui permet de surveiller toutes les interactions de l’utilisateur, comme tous les boutons et liens utilisés, les sélections de texte, les captures d’écran, ainsi que toutes les entrées de formulaire, comme les mots de passe, les adresses et les numéros de carte de crédit ».

Néanmoins, rien ne prouve que les informations récoltées pendant la navigation sont utilisées à des fins de collectes, de traitements, de reventes. Le doute reste permis, notamment au regard du modèle économique de ces applications : la marchandisation des données à caractère personnel.

Une pratique illégale…

De plus, cette pratique entrerait en conflit avec les (nouvelles) règles d’Apple à propos du suivi dans les applications iOS. Effectivement, il est exigé que les applications obtiennent l’autorisation de l’utilisateur pour suivre les utilisateurs. Or, depuis cette mise en place, le groupe Meta aurait perdu énormément de chiffres d’affaires au point d’inquiéter les investisseurs.

En attendant une correction ou une sanction des autorités, l’ingénieur a mis en place un site pour vérifier si du code informatique a été ajouté par le navigateur web intégré d’une application à l’ouverture – www.inappbrowser.com 

Anthony THOREL

Sources :

https://krausefx.com/blog/ios-privacy-instagram-and-facebook-can-track-anything-you-do-on-any-website-in-their-in-app-browser

https://krausefx.com/blog/announcing-inappbrowsercom-see-what-javascript-commands-get-executed-in-an-in-app-browser

https://www.theguardian.com/technology/2022/aug/11/meta-injecting-code-into-websites-visited-by-its-users-to-track-them-research-says

https://www.nytimes.com/2022/08/19/technology/tiktok-browser-tracking.html?searchResultPosition=2

https://www.leparisien.fr/high-tech/comment-facebook-instagram-et-tiktok-utilisent-leurs-navigateurs-integres-pour-suivre-les-utilisateurs-20-08-2022-R3P6LVWDLZCCRFLUU32MLMOWDA.php

https://www.clubic.com/pro/blog-forum-reseaux-sociaux/tiktok/actualite-434226-alerte-vie-privee-le-navigateur-integre-a-l-app-tik-tok-enregistre-les-saisies-clavier-et-les-clics.html

https://www.journaldugeek.com/2022/08/16/surveillance-de-donnees-sur-iphone-meta-pris-en-flagrant-delit/

 

Accor : 600 000 euros d’amende par la CNIL

Le 17 août 2022, la CNIL est venue prononcer une amende de 600 000 euros à l’encontre du groupe hôtelier Accor à la suite de plusieurs plaintes déposées par des clients auprès d’elle ainsi qu’auprès d’entités européennes de protection des données. 

 La Commission a constaté qu’une personne qui effectuait une réservation sur le site d’un hôtel appartenant à Accor ou directement auprès d’un membre du personnel, se retrouvait inscrite automatiquement à la Newsletter incluant des offres commerciales. Cette pratique constitue un manquement à la législation française, qui oblige que le consentement de la personne concernée soit recueilli afin que ses données puissent être récoltées (article L. 34-5 du Code des postes et des communications électroniques). En l’espèce, la case relativement au consentement était cochée par défaut, ce qui constituait une pratique illégale

 Outre ce manquement à la législation française, quatre manquements au RGPD ont été relevés. Ainsi, selon le rapport, « la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe Accor » (articles 12 et 13 du RGPD). Il y avait, dès lors, un manquement à l’obligation d’informer les personnes.

La CNIL a également relevé un manquement d’Accor à son obligation de respecter le droit d’accès des personnes à leurs données personnelles, la société ne répondant pas aux demandes répétées de leurs clients dans les délais (articles 12 et 15 du RGPD), mais également un manquement au droit d’accès des données des personnes concernée, car une des « anomalies techniques » empêchait « un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection » (articles 12 et 21 du RGPD).

La Commission a par ailleurs retenu l’absence de mots de passe suffisamment robustes pour assurer la sécurité des données personnelles (article 32 du RGPD).

 Ce sujet concernant plusieurs pays européens, la CNIL a soumis son projet de sanction à ses homologues. Elle dit avoir pris en compte « le nombre de manquements reprochés à la société, le fait que ces manquements portent sur plusieurs principes fondamentaux de la protection des données personnelles et qu’ils constituent une atteinte substantielle aux droits des personnes, ainsi que le nombre de personnes concernées et la situation financière de la société » pour retenir cette sanction. L’autorité polonaise de protection des données a affiché son désaccord face à la sanction. Le Comité européen de la protection des données (CEPD) a « enjoint à la CNIL de réexaminer le montant de l’amende et de l’augmenter afin que la mesure prise soit davantage dissuasive ».

Loriane LAVILLE

Sources :

https://www.usine-digitale.fr/article/accor-ecope-d-une-amende-de-600000-euros-pour-violation-du-rgpd.N2034862

https://siecledigital.fr/2022/08/18/le-groupe-hotelier-accor-condamne-par-la-cnil-pour-manquements-au-rgpd/?amp

https://www.zdnet.fr/actualites/rgpd-accor-vise-par-une-amende-de-600-000-euros-39945940.htm

https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-daccor

https://edpb.europa.eu/news/news/2022/edpb-publishes-art65-gdpr-dispute-resolution-binding-decision-concerning-accor-sa_en

https://www.solutions-numeriques.com/rgpd-accor-recoit-une-amende-600-000-euros-pour-prospection-commerciale-abusive/?amp=1 (photo)



MasterIPIT