Discussion :

[Stéphane le calme]

Des employés de Snapchat auraient abusé de leurs accès privilégiés aux données des utilisateurs pour les espionner,
d'après des sources

On ne présente plus vraiment Snapchat, l’application qui a lancé la mode des photos et vidéos éphémères à échanger entre amis, ainsi que des Stories qui ont été reprises par la compétition, notamment Facebook. S'il n'est pas surprenant de savoir que Snap (l'éditeur de Snapchat) dispose d'outils dédiés pour accéder aux données des utilisateurs, Motherboard révèle que plusieurs employés auraient abusé de leur accès privilégié pour espionner les utilisateurs de Snapchat.

Pour faciliter la lecture, voici un peu de vocabulaire snapchat :

• Snap : une photo envoyée directement à un ou plusieurs amis. On peut également faire des snaps en vidéo, en restant appuyé longtemps sur le bouton de l’appareil photo.
• Story : vous pouvez sélectionnez des snaps et les ajouter à votre story. C’est comme un album photo/vidéo, auquel peuvent accéder tous vos amis (par défaut) pendant 24 heures.
• Live Story : lors de certains événements, Snapchat sélectionne des snaps réalisés sur place et les ajoute à une story publique (c’est à l’utilisateur de suggérer son snap).
• Memories : c’est une partie de Snapchat qui permet de sauvegarder ses snaps. On peut aussi renvoyer d’anciens snaps et envoyer des photos stockées sur le téléphone.

Deux anciens employés ont déclaré que plusieurs employés de Snap avaient abusé de leur accès aux données des utilisateurs de Snapchat il y a plusieurs années. Ces sources, ainsi que deux anciens employés supplémentaires, un employé actuel, et une mémoire cache des courriels internes de l'entreprise obtenus par Motherboard, décrivaient des outils internes permettant aux employés de Snap d'accéder aux données des utilisateurs, parmi lesquelles figuraient parfois des informations de localisation, des clichés enregistrés et des informations personnelles telles que des numéros de téléphone et des adresses électroniques. Comme expliqué dans le vocabulaire, les Snaps sont des photos ou des vidéos qui, si elles ne sont pas enregistrées, disparaissent généralement après leur réception (ou après 24 heures si elles ont été publiées dans la Story d'un utilisateur).

Bien que Snap ait mis en place des contrôles d'accès stricts pour les données des utilisateurs et prendre très au sérieux les abus et la confidentialité des utilisateurs selon plusieurs sources, l'actualité met en lumière un fait que de nombreux utilisateurs peuvent oublier : derrière les produits que nous utilisons tous les jours, il y a des personnes qui disposent d’accès à des données clients très sensible et qui en ont besoin pour effectuer un travail essentiel sur le service. Mais, sans protections adéquates, ces mêmes personnes peuvent en abuser pour espionner les informations ou les profils privés des utilisateurs.

SnapLion fournit « les clés du royaume » pour accéder aux données des utilisateurs

L'un des outils internes pouvant accéder aux données de l'utilisateur s'appelle SnapLion, selon plusieurs sources et les emails. À l'origine, cet outil était utilisé pour recueillir des informations sur les utilisateurs en réponse à des demandes d'application de la loi valables, telles qu'une ordonnance d'un tribunal ou une assignation à comparaître, ont déclaré deux anciens employés. Les deux sources ont déclaré que SnapLion était un jeu de mots avec l'acronyme courant de l'officier des forces de l'ordre LEO, l'un d'entre eux ajoutant qu'il s'agissait d'une référence au personnage de dessin animé Leo the Lion (Léo le Lion ou le roi Leo, un manga d'Osamu Tezuka).

Selon l'un des anciens employés, l'équipe "Spam and Abuse" de Snap y a accès. Un employé actuel a suggéré que l'outil soit utilisé pour lutter contre l'intimidation ou le harcèlement sur la plateforme par d'autres utilisateurs. Un courrier électronique interne obtenu par Motherboard indique qu'un département appelé "Customer Ops" a accès à SnapLion. Le personnel de sécurité a également accès, selon l'employé actuel. L'existence de cet outil n'a pas été rapportée auparavant.

SnapLion fournit « les clés du royaume », a déclaré l'un des anciens employés ayant décrit l'abus d'accès aux données des utilisateurs.

Parmi les 186 millions d'utilisateurs de Snapchat, de nombreux utilisateurs se tournent vers l'application, en partie à cause du fait que les vidéos et photos que les utilisateurs s’envoient sont éphémères. Les utilisateurs peuvent toutefois ne pas être conscients du type de données que Snapchat peut stocker. En 2014, la Federal Trade Commission a infligé une amende à Snapchat pour avoir omis de divulguer le fait que la société avait collecté, stocké et transmis des données de géolocalisation.

Des employés qui ont abusé de leurs privilèges

Le guide de Snap, qui est disponible publiquement à l'intention des forces de l'ordre qui veulent demander des informations sur les utilisateurs, explique le type de données qui sont à la disposition de l'entreprise, parmi lesquelles figurent le numéro de téléphone associé à un compte; les données de localisation de l'utilisateur (par exemple, lorsque l'utilisateur a activé ce paramètre sur son téléphone et activé les services de localisation sur Snapchat); les métadonnées de message, qui peuvent indiquer à qui ils ont parlé et à quel moment; et dans certains cas, un contenu Snap limité, tel que les Memories de l'utilisateur (voir vocabulaire).

Un courriel interne obtenu par Motherboard montre qu’un employé de Snap, accrédité pour utiliser SnapLion, qui se sert de l’outil pour rechercher l’adresse e-mail associée à un compte dans un contexte ne relevant pas de la loi. Un second courriel indique comment l’outil peut être utilisé dans les enquêtes relatives à la maltraitance d’enfants.

Des outils tels que SnapLion constituent un standard dans le monde de la technologie, car les entreprises doivent pouvoir accéder aux données des utilisateurs à diverses fins légitimes. Bien que Snap ait indiqué qu'elle disposait de plusieurs outils pour aider à la création de rapports sur les clients, à la conformité aux lois et à l'application des conditions et politiques du réseau, les employés ont utilisé des processus d'accès aux données pour des raisons illégitimes afin d'espionner les utilisateurs, selon deux anciens employés.

L'un des anciens employés a déclaré que l'accès aux données avait été mal utilisé « quelques fois » chez Snap. Cette source et un autre ancien employé ont précisé que l'abus avait été commis par plusieurs personnes. Un email de Snapchat obtenu par Motherboard montre également des employés qui discutent largement du problème des menaces internes et de l’accès aux données, et de la nécessité de les combattre.

Toutefois, Motherboard n'a pas été en mesure de vérifier avec exactitude comment le comportement abusif sur l’accès aux données s’est produit, ni le système ou le processus spécifique mis à profit par les employés pour accéder aux données utilisateur de Snapchat.

Snap renforce les contrôles au niveau de ses outils internes

Un porte-parole de Snap a fait la déclaration suivante par courrier électronique : « La protection de la vie privée est primordiale chez Snap. Nous conservons très peu de données utilisateur et nous disposons de politiques et de contrôles robustes pour limiter l'accès interne aux données dont nous disposons. Tout accès non autorisé, de quelque type que ce soit, constitue une violation flagrante des normes de conduite de l'entreprise et, si elle est détectée, entraîne la résiliation immédiate du contrat ».

L'un des anciens employés estime qu'il y a plusieurs années, SnapLion ne disposait pas d'un niveau satisfaisant de journalisation pour savoir quels employés avaient eu accès à des données. La journalisation, d’une manière générale, correspond au moment où une entreprise vérifie qui utilise un système et à quelles données la personne a eu accès pour s’assurer que le système est utilisé de manière appropriée. La société a ensuite mis en place une surveillance accrue, a ajouté l'ancien employé. Snap a déclaré qu'il surveille actuellement l'accès aux données utilisateur.

Snap a déclaré qu'il limitait l'accès interne aux outils à ceux qui en avaient besoin, mais SnapLion n'est plus un outil destiné uniquement à aider les forces de l'ordre. Il est maintenant utilisé plus généralement dans l’ensemble de la société. Un ancien employé ayant travaillé avec SnapLion a déclaré que cet outil était utilisé pour réinitialiser les mots de passe des comptes piratés et pour « l'administration des autres utilisateurs ».

Un employé actuel a souligné les progrès de la société en matière de protection de la confidentialité des utilisateurs, et deux anciens employés ont souligné les contrôles mis en place par Snap pour protéger la confidentialité des utilisateurs. Snap a introduit le chiffrement de bout en bout en janvier de cette année

Source : Motherboard

Et vous ?

Connaissiez-vous Snapchat ?
Êtes-vous un utilisateur de Snapchat ? Que pensez-vous de cette application ?
Que préférez-vous sur Snapchat que vous avez du mal à retrouver chez la concurrence ?
Cette histoire est-elle susceptible de sensibiliser les utilisateurs quant aux informations qu'ils acceptent de partager avec / via des applications ?

Voir aussi :

2T18 : après Facebook et Twitter, Snapchat perd 3 millions d'utilisateurs journaliers, les médias sociaux sont-ils à la limite de leur croissance ?
Microsoft rafraîchit son application mobile Skype en s'inspirant de SnapChat, la nouvelle génération de Skype arrive d'abord sur Android
Facebook intègre des « stories » et des filtres interactifs sur son application mobile à l'image de Snapchat, dont l'action en bourse aurait chuté
L'entreprise derrière Snapchat cherche à s'implanter en Chine, malgré le blocage du réseau social par le gouvernement chinois

[Ryu2000]

Cette histoire est-elle susceptible de sensibiliser les utilisateurs quant aux informations qu'ils acceptent de partager avec / via des applications ?

Non parce que de toute façon les employés de la NSA espionnent leur ex (ils ont accès aux appelles, aux emails, aux SMS, à Facebook, Twitter, etc).
NSA : des employés ont espionné leurs conjoints

Déjà au centre d'une polémique déclenchée par les révélations d'Edward Snowden, la NSA est de nouveau dans l’œil du cyclone. Des employés de l'agence américaine chargée des interceptions de communications ont profité des outils de surveillance de leur employeur pour espionner les communications de leurs conjoints. Des écoutes qui ont déjà été baptisées "LoveInt violations" (pour "Love Intelligence" ou "renseignement amoureux") outre-Atlantique.

Snapchat fait des efforts :

Un employé actuel a souligné les progrès de la société en matière de protection de la confidentialité des utilisateurs, et deux anciens employés ont souligné les contrôles mis en place par Snap pour protéger la confidentialité des utilisateurs. Snap a introduit le chiffrement de bout en bout en janvier de cette année

Le danger des smartphones c'est quand une fille de 13 ans se dit "je vais envoyer une photo de moi nue à un gars de la classe" et que le type partage la photo, après c'est trop tard, tout le collège récupère la photo et ça peut finir en suicide.

[NBoulfroy]

Est-ce que je connais Snapchat ?
-> Je pense qu'à peu près tout le monde connaît au moins de nom donc oui, je connais.

Êtes-vous un utilisateur de Snapchat ? Que pensez-vous de cette application ?
-> Oui, je l'utilise et mon avis ? C'est marrant pour certains filtres quand on fait des petites vidéos mais cela ne va pas plus loin (je l'utilise de façon très marginale).

Que préférez-vous sur Snapchat que vous avez du mal à retrouver chez la concurrence ?
-> Le coté éphémères des messages et l'histoire des filtres pour des vidéos.

Cette histoire est-elle susceptible de sensibiliser les utilisateurs quant aux informations qu'ils acceptent de partager avec / via des applications ?
-> Je n'en suis pas vraiment sur ... Quand on voit la prolifération des utilisateurs sur ce genre d'applications ...