Discussion :

[Stéphane le calme]

Des utilisateurs s'inquiètent des risques potentiels sur la vie privée apportés par FaceApp,
l'application qui permet d'appliquer un filtre pour voir à quoi vous ressemblerez dans 50 ans

FaceApp, une application basée en Russie qui applique des filtres aux photos, est redevenue populaire ces jours-ci après avoir été sous les feux des projecteurs en 2017. La raison ? L’application intègre un filtre qui donne aux utilisateurs une apparence plus âgée ou plus jeune. Cependant, comme lors de son dernier moment de gloire, des utilisateurs se sont demandé à quel point les créateurs de l'application exploitaient des métadonnées à partir de leurs photos, notamment si l’application se servait des données à des fins commerciales.

Des recherches poussées suggèrent que FaceApp ne fait rien de particulièrement inhabituel ni dans son code ni dans son trafic réseau. Si FaceApp vous inquiète donc, de nombreuses autres applications de votre téléphone devraient probablement susciter le même sentiment. Néanmoins, les débats sur le sujet attirent l'attention sur des pratiques technologiques standard qui pourraient être plus invasives que ne le réalisent les utilisateurs.

Pour utiliser l’application, les utilisateurs iOS sélectionnent les photos sur lesquelles ils souhaitent appliquer des filtres. La société télécharge ensuite les images spécifiques sur ses serveurs pour appliquer le filtre. FaceApp n’indique jamais qu’il télécharge la photo filtrée, mais ce n’est pas inhabituel, comme le note le chercheur sur iOS et PDG de Guardian Firewall, Will Strafach, sur Twitter.

Les potentiels problèmes de confidentialité

Théoriquement, FaceApp pourrait traiter ces photos sur le périphérique lui-même, mais Yaroslav Goncharov, ancien dirigeant de Yandex et PDG de la société russe qui a créé l'application, avait précédemment déclaré que les photos téléchargées sur l’application étaient stockées sur les serveurs de la société pour sauvegarder de la bande passante dans le cas où plusieurs filtres venaient à être appliqués. Il a assuré que ces photos étaient supprimées peu de temps après. Dans un autre communiqué, FaceApp a déclaré accepter les demandes des utilisateurs de supprimer leurs données de ses serveurs. L'équipe est actuellement "surchargée", mais les utilisateurs peuvent envoyer la demande via Configuration> Assistance> Signaler un bogue avec le mot "confidentialité" dans la ligne d'objet.

Bien sûr, nous ne savons pas si FaceApp supprime réellement les données photo, mais il est bon de se rappeler que nous mettons en permanence des photos de nos visages sur les serveurs des entreprises. La seule différence dans ce cas-ci est que, contrairement à Facebook ou Google, FaceApp est basé en Russie et qu’il hérite donc de la mauvaise perception du pays par de nombreux américains et européens. FaceApp indique qu'aucune donnée d'utilisateur n'est transférée en Russie.

Les utilisateurs ont également noté un autre problème de confidentialité potentiel, à savoir que la politique de l'entreprise en matière de confidentialité intègre un langage général lui permettant d'utiliser les noms d'utilisateur, les noms et d’autres éléments à des fins commerciales. L’avocate Elizabeth Potts Weinstein a également déclaré que cette politique n’était pas conforme au RGPD. Malgré tout, même si ce n’est pas formidable, les utilisateurs acceptent souvent des stratégies de grande envergure qui utilisent spécifiquement un langage volontairement vague (un excellent moyen d’éviter les poursuites). Et ils n'ont pas leur mot à dire; soit ils utilisent le service soit ils ne le font pas. Il faut préciser que FaceApp déclare ne pas vendre les données utilisateur à des tiers.

Les conclusions de certains chercheurs

CheckPoint

Le spécialiste en sécurité s’intéresse à trois axes :

• Les permissions :
  Check Point note que l'application utilise très peu de permissions, et uniquement celles nécessaires à son fonctionnement. Il s’agit notamment de :
  
  • l’état d'Internet et du réseau - pour se connecter aux serveurs de FaceApp et échanger des données ;
  • l’appareil photo : pour prendre des photos et des vidéos ;
  • la lecture et écriture sur un stockage externe :- pour échanger des images avec l’appareil ;
  • la facturation : pour les achats intra-application (Check Point suppose que cela s’applique à l’achat d’autres filtres) ;.
  • le réveil : qui fait partie du service FireBase.
  • autres autorisations de services Google
• L’accès aux données :
  Comme mentionné ci-dessus, l'application peut accéder à la galerie et au stockage externe :
  
  • Check Point note qu’il est possible de charger un fichier .dex à partir d'Internet, ce qui est utilisé pour les services liés à Google (la dernière permission)
  • les informations liées à l’appareil sont envoyées sur Internet : fait partie du service FireBase (version d’Android et autres informations similaires).
• Le traitement d'image
  Check Point rappelle que :
  
  • l'ensemble des processus de traitement des images est effectué sur les serveurs de FaceApp dans le Cloud ;
  • les données sont envoyées sur leurs serveurs, via HTTPS, pour être traitées.

En conclusion, Check Point estime que cette application a été développée dans le bon sens ; pas de permissions agressives, et elle fait ce qu'elle prétend faire.

LeBron James a posté cette photo sur Instagram

Avast

Parlant des risques encourus par les utilisateurs de l’application FaceApp concernant leur vie privée, Nikolaos Chrysaidos, Head of Mobile Threat Intelligence chez Avast, déclare :

« Nous avons vérifié le trafic web et constaté que FaceApp ne renvoie pas les données sensibles des utilisateurs vers les serveurs. Il n’y a aucun signe d’intrusion malveillante de l’application dans la vie privée. Bien qu’elle recueille effectivement des données et des photos pour pouvoir fonctionner, ce genre de risque est le même qu’avec de nombreuses autres applications comme celle-ci.

« Les gens entendent parler d’intelligence artificielle, de vie privée et de la Russie, et s’inquiètent, à juste titre. Toutefois, si nous prenons du recul pour analyser la situation, nous nous rendons compte qu’il ne s’agit pas d’un souci majeur de cybersécurité. Ce n’est pas une application malveillante, même si elle soulève des problèmes en matière de confidentialité. Nous ne sommes pas face à une question urgente mais elle est tout de même très répandue. Les entreprises qui produisent des applications devraient être plus transparentes quant à l’utilisation qu’elles font des données, bien que la responsabilité incombe également aux consommateurs. Ce cas rappelle à nouveau que les bonnes pratiques de sécurité sur les appareils mobiles sont nécessaires.

« Une meilleure compréhension de la vie privée et des applications par l’ensemble des utilisateurs pourrait par ailleurs aider à clarifier les problématiques de sécurité avant qu’une application ne soit virale. Lorsque les inquiétudes circulent sur les réseaux sociaux et deviennent un sujet incontournable, le vrai visage du problème devient difficile à voir et à cerner ».

Jane Wong

La chercheuse Jane Wong a également publié ses conclusions autour de FaceApp et a indiqué qu'elle souhaitait que les utilisateurs puissent supprimer leurs propres données, bien qu'il semble maintenant qu'ils puissent émettre une demande.

« Les photos sont téléchargées sur les serveurs de FaceApp sur AWS avec autorisation. Peu d’informations sont envoyées aux serveurs de FaceApp autres que des métriques utilisateur (par exemple, des interactions ui) ».

Conclusion

FaceApp peut ne pas être un problème majeur de confidentialité, mais comme pour toute application, il y a toujours des compromis à faire. Si vous voulez voir à quoi vous pourriez ressembler à 80 ans, vous devez partager votre photo avec l’application, une photo où votre visage est visible.

Comme certains l’ont souligné, le simple fait que l’éditeur de l’application est basé en Russie pourrait exposer vos photos aux services de sécurité du pays. Mais cela est également vrai pour les applications développées par des éditeurs basés en Chine ou même aux États-unis.

Quoiqu’il en soit, la polémique autour de FaceApp aura au moins le mérite de rappeler aux utilisateurs qu’ils doivent réfléchir à la manière dont leurs données sont utilisées avant de les partager avec une application inconnue.

Sources : Face App (déclarations sur les informations collectées), Avast, Will Strafach, Elizabeth Potts, Jane Wong

Et vous ?

Avez-vous déjà entendu parler de FaceApp ?
L'avez-vous déjà utilisé ? Quel filtre avez-vous appliqué ?
Qu'avez-vous pensé de cette application ?
Quels sont, selon-vous, les risques potentiels sur la vie privée ?
Sont-ils plus importants ou autant important que n'importe quelle autre application de ce genre ?
Le fait qu'un développeur soit basé dans un coin du monde (en Russie dans le cas d'espèce) peut-il lui porter préjudice si son pays est "mal perçu" par d'autres ?

Voir aussi :

Un régulateur suisse présenté par Facebook comme garant de la protection de la vie privée sur Libra affirme ne pas être en contact avec l'entreprise
Apple à nouveau sous le coup d'une enquête pour application du RGPD, l'intérêt étant de s'assurer du respect de la vie privée des clients
Vie privée : 64 % des organisations estiment avoir subi une attaque par accès privilégié, selon BeyondTrust
Copie privée : bientôt une redevance sur les disques durs internes des PC ? Justice ou recherche désespérée de revenus pour les ayants droit ?

[CoderInTheDark]

Si les utilisateurs on peur pour leurs données personnelles, ils peuvent déjà commencer par arrêter de les envoyer à tort et à travers à toutes les applications.

[Stéphane le calme]

Le FBI considère que FaceApp et toute application mobile similaire développée en Russie
sont une menace potentielle de contre-espionnage

FaceApp, une application basée en Russie qui applique des filtres aux photos, est redevenue populaire durant l'été après avoir été sous les feux des projecteurs en 2017. La raison ? L’application intègre un filtre qui donne aux utilisateurs une apparence plus âgée ou plus jeune. Cependant, comme lors de son dernier moment de gloire, des utilisateurs se sont demandé à quel point les créateurs de l'application exploitaient des métadonnées à partir de leurs photos, notamment si l’application se servait des données à des fins commerciales. Les experts ont mis en garde contre des préoccupations potentielles en matière de vie privée et de sécurité nationale lorsque l'application a gagné en popularité cet été, poussant le Chef de la minorité du Sénat, Chuck Schumer (D-N.Y.), à demander au FBI et à la Federal Trade Commission de se pencher sur la question en juillet.

Dans une lettre adressée au chef de la minorité sénatoriale, le FBI a déclaré lundi qu'il considérait les applications mobiles développées en Russie, y compris la populaire application de photo-vieillissement FaceApp, comme étant des « des menaces potentielles de contre-espionnage ».

« Le FBI considère toute application mobile ou tout produit similaire développé en Russie, tel que FaceApp, comme une menace potentielle de contre-espionnage, en fonction des données que le produit recueille, de sa politique de confidentialité et de ses conditions d'utilisation, ainsi que des mécanismes juridiques mis à la disposition du gouvernement de Russie qui permettent l'accès aux données à l'intérieur des frontières russes », a expliqué le FBI dans sa lettre.

« Les services de renseignement russes disposent de puissantes capacités de cyberexploitation... le [Service de sécurité fédéral russe] peut accéder à distance à toutes les communications et aux serveurs des réseaux russes sans adresser de demande aux fournisseurs d'accès à Internet ».

Le FBI a déclaré qu'il coordonnerait les notifications et les enquêtes et collaborerait avec les groupes de travail concernés si l'application était perçue comme une menace pour « les élus, les candidats, les campagnes politiques ou les partis politiques ».

Dans un communiqué, Schumer a déclaré : « à la lumière des avertissements du FBI selon lesquels FaceApp et les applications similaires développées en Russie constituent une menace potentielle de contre-espionnage pour les États-Unis, j'exhorte tous les Américains à envisager de supprimer immédiatement des applications comme FaceApp et à procéder avec une extrême prudence lorsqu'ils téléchargent des applications développées dans des pays étrangers hostiles ».

Menaces à la sécurité ? Pas pour tout le monde

Il faut noter que les experts n'ont pas été unanimes quant aux risques encourus par les utilisateurs de l’application FaceApp concernant leur vie privée. Nikolaos Chrysaidos, Head of Mobile Threat Intelligence chez Avast, a déclaré :

« Nous avons vérifié le trafic web et constaté que FaceApp ne renvoie pas les données sensibles des utilisateurs vers les serveurs. Il n’y a aucun signe d’intrusion malveillante de l’application dans la vie privée. Bien qu’elle recueille effectivement des données et des photos pour pouvoir fonctionner, ce genre de risque est le même qu’avec de nombreuses autres applications comme celle-ci.

« Les gens entendent parler d’intelligence artificielle, de vie privée et de la Russie, et s’inquiètent, à juste titre. Toutefois, si nous prenons du recul pour analyser la situation, nous nous rendons compte qu’il ne s’agit pas d’un souci majeur de cybersécurité. Ce n’est pas une application malveillante, même si elle soulève des problèmes en matière de confidentialité. Nous ne sommes pas face à une question urgente, mais elle est tout de même très répandue. Les entreprises qui produisent des applications devraient être plus transparentes quant à l’utilisation qu’elles font des données, bien que la responsabilité incombe également aux consommateurs. Ce cas rappelle à nouveau que les bonnes pratiques de sécurité sur les appareils mobiles sont nécessaires.

« Une meilleure compréhension de la vie privée et des applications par l’ensemble des utilisateurs pourrait par ailleurs aider à clarifier les problématiques de sécurité avant qu’une application ne soit virale. Lorsque les inquiétudes circulent sur les réseaux sociaux et deviennent un sujet incontournable, le vrai visage du problème devient difficile à voir et à cerner ».

Même son de cloche pour Check Point qui, après avoir fait une analyse sur trois axes (notamment les permissions, l'accès aux données et le traitement de l'image) a conclu que cette application a été développée dans le bon sens ; pas de permissions agressives, et elle fait ce qu'elle prétend faire.

La semaine dernière, TikTok, une application de partage de vidéos courtes (15 secondes), a été accusé d'avoir transféré des données privées d'utilisateurs à des serveurs en Chine, malgré l'assurance donnée par la société qu'elle n'y stocke pas de données personnelles. Le projet de recours collectif déposé à la Cour fédérale de Californie allègue que TikTok a récolté illégalement et secrètement de grandes quantités de données personnelles d'utilisateurs identifiables et les a envoyées en Chine. La plainte concerne également ByteDance, sa société mère.

La plainte déposée vendredi contre TikTok et sa société mère ByteDance, basée en Chine, allègue qu'en plus d'avoir collecté du contenu utilisateur tel que des vidéos sans leur consentement, TikTok a aussi des politiques de confidentialité "ambiguës". Elle soulève des inquiétudes quant au fait que les données recueillies par TikTok pourraient être utilisées pour identifier, profiler et suivre les utilisateurs aux États-Unis. Selon la plainte, l'entreprise utiliserait ces données pour vendre des publicités ciblées.

Source : lettre du FBI

Et vous ?

Avez-vous déjà utilisé une application de modification de média comme FaceApp ?
Avez-vous déjà utilisé une application qui s'apparente à TikTok ?
Que pensez-vous des considérations du FBI sur ce genre d'applications développées hors des frontières américaines ? Réelle menace pour la sécurité nationale ou paranoïa ? Dans quelle mesure ?
Que pensez-vous des recommandations du sénateur qui propose de faire attention lorsque les utilisateurs US téléchargent des applications qui ne sont pas américaines ?

Voir aussi :

Le FBI tire la sonnette d'alarme sur les risques de sécurité auxquels peuvent faire face les téléviseurs connectés et prodigue quelques conseils
Des milliers de PC sont enrôlés dans un botnet pour envoyer des emails de sextorsion, d'après l'Internet Crime Complaint Center du FBI
Des agents du FBI se sont servis d'une base de données de la NSA pour chercher des infos sur des collègues, des amis, la famille, en violation avec le quatrième amendement
Le FBI tire la sonnette d'alarme à propos d'attaques qui contournent l'authentification à plusieurs facteurs, et donne des recommandations

[Ryu2000]

Que pensez-vous des considérations du FBI sur ce genre d'applications développées hors des frontières américaines ? Réelle menace pour la sécurité nationale ou paranoïa ?

Quand on connait les pratiques de la NSA on a de quoi s'inquiéter, peut-être que les USA ne sont pas les seuls à vouloir espionner le monde.
Le FBI est un peu paranoïaque en s'imaginant que les autres pays sont peut-être aussi pourri qu'eux, mais ils ont peut-être raison, on ne sait pas.

Quand on utilise WhatsApp, Instagram, Android, iOs et toutes ces conneries, il faut s'inquiéter ce sont des menaces potentielle.

[Jcb-tux]

Ce n'est pas des portes ouvertes dans toutes les entreprises et administrations en Europe avec Microsoft office365 et tous les windoz ?