Discussion :

[Jonathan]

Des applications populaires pour iPhone enregistrent les sessions des utilisateurs à leur insu
grâce à l'outil de capture d'écran de Glassbox

Ces dernières années n'ont pas été de tout repos pour la multinationale américaine Apple, qui a du faire face à des vagues de procédures judiciaires. L'une des décisions de justice rendue lors de l'un des procès imposait à Apple le retrait des iPhone 7 et 8 de ses magasins de détail en Allemagne. Malgré toutes ces difficultés, il semblerait que la marque à la pomme ne soit pas au bout de ses peines.

En effet, d'après un article paru sur le blog The App Analyst, détenu par un expert en téléphonie mobile, il se pourrait bien que certaines applications populaires pour iPhone comme Air Canada, Hollister et Expedia se permettent d'enregistrer tout ce que les utilisateurs font pendant leur utilisation et tout ceci à leur insu. L'article de ce blog se focalise sur l'application Air Canada qui permet à ses clients de réserver et de gérer des vols. Il est intéressant de savoir qu'Air Canada est le plus important fournisseur de vols au Canada et a établi un record de 48 millions de clients en 2017 dont 1,7 million ont ouvert un compte dans l'application mobile d'Air Canada.

L'article explique que cette application se servirait d'un outil de Glassbox, une société d'analyse de l'expérience client. Cet outil lui permettrait de faire des captures d'écran pendant la session d'un utilisateur. Glassbox dit avoir pris en compte le fait que l'utilisateur puisse entrer des données sensibles dans certains champs et qu'il est possible grâce à leur outil de définir des boîtes noires pour ces champs. Glassbox a mis en place cette possibilité afin d'empêcher que ces données sensibles ne soient stockées dans une base de données de captures d’écran.

Cependant l'article dénonce le fait que la configuration qu'utilise l'application Air Canada pour spécifier l'emplacement des boîtes noires n'est pas suffisamment étendue. Pour mieux se faire comprendre, le rédacteur de l'article a pris un exemple assez pratique. Dans cet exemple, Air Canada tente de bloquer la collecte d'informations de carte de crédit lorsqu'un utilisateur associe une carte de crédit à son compte. À l'origine, l'obscurcissement est effectué correctement avec les boîtes noires. Toutefois, les captures d'écran suivantes enregistrent les informations révélées. Si ces captures d'écran (contenant des informations sur les cartes de crédit) sont stockées par Air Canada ou partagées avec Glassbox, Air Canada pourrait se retrouver en infraction avec les normes établies par l'industrie des cartes de paiement.

Il est possible que l'application Air Canada utilise cet outil de capture d'écran à des fins d’assurance qualité ou de résolution des litiges. Mais pour les utilisateurs très prudents qui se sentiraient mal à l'aise avec le fait que leurs données puissent être recueillies, ils ont la possibilité de bloquer les connexions à glassbox.aircanada.ca. Cela devrait être possible via les paramètres DNS de leurs routeurs domestiques. Il faut tout de même garder à l'esprit que même après l'avoir fait, ça ne supprimera pas pour autant les captures d'écran contenant les données sensibles potentiellement déjà stockées par Air Canada.


Source : The App Analyst

Et vous ?

Que pensez-vous de l'utilisation de cet outil de capture d'écran dans les applications ?
Pensez-vous qu'Air Canada l'utilise à de bonnes fins ?

Voir aussi :

Apple fait maintenant face à plus de 26 poursuites pour avoir intentionnellement ralenti certains iPhone prétextant la vieillesse de leurs batteries
Des possesseurs d'iPhone estiment que les applications coûtent trop chers sur iOS à cause de la commission prélevée par Apple aux développeurs
Les applications déployées sur l'App Store vont devoir nativement supporter l'affichage sur l'iPhone X à compter d'avril 2018
Des clients Apple se plaignent des mauvaises performances de leurs iPhone Xs et Xs Max en réception cellulaire et Wi-Fi, à qui la faute ?

[Michael Guilloux]

Apple s'attaque aux applications qui enregistrent les écrans des utilisateurs à leur insu
et menace de les supprimer de l'App Store

La relecture d'un enregistrement de session (ou session replay en anglais) est la possibilité de visualiser en différé le comportement d’un utilisateur sur un site Web ou au sein d'une application Web ou mobile. La relecture peut inclure les pages ou écrans vus par l'utilisateur, sa saisie (entrées du clavier et de la souris) et les journaux des événements réseau, entre autres. Elle est censée aider à améliorer l'expérience client et à identifier les obstacles dans les processus de conversion client, c'est-à-dire dans le processus de transformation des visiteurs ou utilisateurs en acheteurs. Mais la relecture de session peut également être utilisée pour étudier la convivialité d'un site ou une application et le comportement du client ; et certaines entreprises utilisent même cette fonctionnalité pour analyser les comportements frauduleux sur des sites Web.

C'est une fonctionnalité qui est de plus en plus utilisée, et parfois sans modération, par les développeurs d'applications et sites Web, comme en témoigne d'ailleurs un récent rapport indiquant que certaines applications iOS enregistrent les sessions des utilisateurs à leur insu.

Le rapport révèle que des applications iOS populaires telles que Abercrombie & Fitch, Hollister, Hotels.com, Expedia, Air Canada et Singapore Airlines utilisent le SDK de la société Glassbox pour l'accès à une technologie de relecture de session qui leur permet d'enregistrer et de reproduire les interactions des utilisateurs. L'outil, intégré aux applications natives à des fins de résolution de problèmes et d'évaluation, permet aussi une surveillance granulaire des interactions des utilisateurs. Il permet par exemple d'enregistrer des saisies à l'écran, des entrées de zone de texte, etc., afin de fournir aux entreprises un compte rendu détaillé des actions de l'utilisateur et des réponses du logiciel.

En plus, aucune de ces applications utilisant la technologie Glassbox n'a informé les utilisateurs de la fonction de surveillance dans leurs politiques de confidentialité respectives, ce qui constitue une violation apparente des directives de l'App Store d'Apple. Après ces révélations, Apple a donc décidé de s'attaquer aux applications d'analyse qui enregistrent les écrans des utilisateurs.

Apple a notifié les contrevenants que leurs applications « utilisent un logiciel d'analyse pour collecter et envoyer les données d'un utilisateur ou d'un appareil à un tiers sans le consentement de l'utilisateur » et a averti qu'elles seront supprimées de l'App Store si le code de surveillance n'est pas supprimé.

« La protection de la confidentialité des utilisateurs est primordiale dans l'écosystème Apple. Nos règles de révision de l'App Store exigent que les applications demandent le consentement explicite de l'utilisateur et fournissent une indication visuelle claire [une petite icône rouge dans le coin supérieur gauche du téléphone, NDLR] lors de l'enregistrement de l'activité de l'utilisateur », a déclaré un porte-parole d'Apple. « Nous avons informé les développeurs que ceux-ci contrevenaient à ces conditions et directives strictes en matière de protection de la vie privée et nous prendrons des mesures immédiates si nécessaire ».

En réponse à ces révélations, Glassbox affirme que ses clients et lui « ne sont pas intéressés par l'espionnage des consommateurs », mais ils ont plutôt pour objectifs « d'améliorer l'expérience client en ligne et de protéger les consommateurs du point de vue de la conformité ». Glassbox ajoute que sa plateforme est sécurisée, chiffrée et conforme aux normes de confidentialité des données. En outre, aucune donnée sur les consommateurs n'est partagée avec des tiers, a déclaré la société.

Si la société estime que sa plateforme est sécurisée, soulignons que des fuites de données peuvent survenir suite à de mauvaises pratiques de traitement des données. Glassbox fournit des outils permettant de masquer les données utilisateur sensibles avant qu'elles soient envoyées à des serveurs appartenant à un client ou à ses propres serveurs, mais le récent rapport a montré que dans certains cas, des informations telles que les numéros de carte de crédit, les adresses e-mail ou les codes postaux ne sont pas masquées.

Enfin, notons qu'il y a bien d'autres sociétés d'analyse qui ont des pratiques similaires. Il existe donc sans aucun doute de nombreuses autres applications qui utilisent ces fonctionnalités d'enregistrement d'écran secret sans que l'utilisateur en soit au courant.

Sources : Apple Insider, Mac Rumors

Et vous ?

Qu'en pensez-vous ?
Avez-vous développé des sites ou applications intégrant une fonctionnalité de relecture d'enregistrement de sessions ? Dans quels buts ?

Voir aussi :

Un grand nombre d'applications VPN gratuites populaires sur Google Play et App Store sont détenues par des entités chinoises ou sont basées en Chine
App Store : les clients ont dépensé 1,22 milliard $ entre le réveillon de Noël et le réveillon du nouvel an, et plus de 322 millions $ au nouvel an
Des chercheurs en sécurité ont découvert d'autres applications du Mac App Store en train de voler des données utilisateur et ont été supprimées
Une Application Mac Adware Doctor prise en train de voler les historiques de navigation des utilisateurs et supprimée de Mac App Store
Apple demanderait aux développeurs d'abandonner la vente d'applis à bas prix sur l'App Store et d'opter plutôt pour la vente par abonnement

[sebastiano]

On s'attaque quand à ce genre de relevés mais sur les navigateurs des OS de bureau ?