L'application Sarahah accusée de collecter en douce les données du carnet d'adresses de votre smartphone

Publié le 28 août 2017 à 17h21
L'application Sarahah accusée de collecter en douce les données du carnet d'adresses de votre smartphone
Source : Manu Fernandez/AP/SIPA

VIE PRIVÉE - Lancée en juin dernier, l'appli Sarahah est déjà utilisée par plus de 18 millions de personnes à travers le monde, et notamment par des adolescents. A en croire un expert en sécurité informatique, ce réseau social d'un nouveau genre utiliserait un "logiciel espion" lui permettant de collecter l'ensemble des données qui se trouvent dans le carnet d'adresses d'un téléphone. Et ce, dès la première utilisation.

Dès son lancement, cette application collecte immédiatement, et en douce, toutes les données de votre carnet d’adresses : aussi bien les numéros de téléphone que les adresses mail. Voici, en substance, ce que vient de révéler le site américain d’investigation The Intercept. Cette application, vous la connaissez peut-être : elle s’appelle Sarahah. Au début du mois de juin, à peine plus de quatre jours après son lancement, ce réseau social d’un nouveau genre, a caracolé en tête des applications les plus téléchargées sur l’AppStore et le PlayStore, devant Messenger, WhatsApp ou encore Snapchat, dans de nombreux pays à travers le monde.

Le principe ? Sur la messagerie Sarahah, les utilisateurs peuvent inviter leurs amis à laisser un message anonyme à leur propos, leur faire un compliment ou encore leur avouer un secret. Le concept a pour but d’encourager la spontanéité et la franchise, explique son créateur, le développeur saoudien Zain al-Abidin Tawfiq. La recette aurait déjà séduit plus de 18 millions d’inscrits à travers le monde, seulement quatre mois après son lancement, d'après son concepteur.

En cause, un logiciel espion, plus connu sous le nom de BURP Suite

Même si, et seulement dans certains cas, l’application vous demande l'autorisation d'accéder à vos contacts, elle ne précise en aucun cas à son utilisateur qu'elle s’apprête à "vampiriser", et ce dès son lancement, l’intégralité des données qui se trouvent dans le carnet d’adresses du smartphone, pointe Zachary Julian, chercheur en sécurité informatique chez Bishop Fox, cité par The Intercept. En installant l’application Android sur son Galaxy S5, cet expert a découvert qu’un logiciel "espion", connu sous le nom de "Burp suite", s’était dissimulé dans le code source de l'application Sarahah.

Grâce à ce petit mouchard, il est possible d’intercepter le trafic entrant et sortant du téléphone, ce qui permet au propriétaire de collecter toutes les données qui sont envoyées sur les serveurs. "Dès que vous vous connectez à l'application, celle-ci transmet tous les numéros de téléphone et les adresses mail qui sont stockés sur le système d'exploitation Android", explique Zachary Julian. Le chercheur en sécurité informatique a constaté, par la suite, que c’était aussi le cas sur la version iOS d’Apple. L’expert a découvert, en outre, que les données étaient collectées par Sarahah, et cela même si l’utilisateur a refusé de donner accès à son carnet d’adresses, comme on peut le voir dans la vidéo ci-dessous. 

Le créateur de Sarahah, Zain al-Abidin Tawfiq, n'a pas répondu initialement aux demandes de l'expert Zachary Julian. Du moins, jusqu'à ce que l'expert en sécurité informatique décide de mettre en ligne cette vidéo, qui atteste de la présence du mouchard au sein de l'application. Depuis son compte Twitter, le concepteur de Sarahah a assuré qu'il ne s'agissait pas d'un logiciel espion destiné à collecter les données personnelles des utilisateurs, mais d'une fonctionnalité qui servait à aider les utilisateurs à "trouver les amis" sur l'application.  Zain al-Abidin Tawfiq affirme que la fonction a été supprimée et qu'aucune information personnelle provenant des carnets d'adresses des utilisateurs ne sont présentes dans la base de données de Sarahah. Ce qui est, bien entendu, impossible à vérifier.


Matthieu DELACHARLERY

Tout
TF1 Info