La sécurité et la confidentialité du réseau social Clubhouse, spécialisé dans les contenus audio, sont remises en cause.
Ses concepteurs promettent de faire mieux après une série d’incidents

Alors que son succès ne cesse de faire des vagues dans le monde entier, des États-Unis à la Chine, en passant par le Brésil, la France et la Turquie, l’application de réseau social audio Clubhouse, lancée au printemps 2020 aux États-Unis, présente déjà des signes de fébrilités en matière de sécurité et de protection de la vie privée.

En effet, Clubhouse est une application qui se distingue par l'absence de texte, de photos et de vidéos. L'application est uniquement audio. De plus, tout se passe en direct et en temps réel. En général, seul un certain nombre de personnes peuvent parler, les autres n'ont que la possibilité d'écouter. Un membre peut lever virtuellement la main et demander à prendre la parole. Dans l'application, les conversations ne sont pas enregistrées ni mises à disposition pour être écoutées plus tard, tout se fait en temps réel.

Depuis l'année dernière, Clubhouse n’a cessé de croître en popularité. La plateforme serait évaluée à 1 milliard de dollars et compterait plus de 10 millions d'utilisateurs parmi lesquels, les célébrités comme Elon Musk et Mark Zuckerberg de Facebook, les rappeurs Drake et Kanye West, et à la star des médias Oprah Winfrey. L’application compte également parmi ses utilisateurs des professionnels du podcast et de la radio en France, ainsi que des personnalités politiques. Les membres du gouvernement Clément Beaune, Gabriel Attal et Jean-Baptiste Djebbari s’y sont exprimés, ainsi que Franck Riester ou Marion Maréchal-Le Pen. Des humoristes, comme Jamel Debbouze ou Kyan Khojandi, y font des apparitions.

Nom : ClubB.png
Affichages : 936
Taille : 249,2 Ko

Fort de cette popularité grandissante, l'entreprise a dû faire face à des problèmes de sécurité et à des questions sur le degré de confidentialité auquel ses utilisateurs doivent s'attendre. « Avec les petites plateformes de réseaux sociaux plus récentes, nous devrions être sur nos gardes en ce qui concerne nos données, surtout lorsqu'elles connaissent une croissance énorme ; cela nécessite beaucoup de contrôles », a déclaré le chercheur en sécurité Robert Potter. « On peut commencer avec seulement 100 000 personnes sur la plateforme : on multiplie ces chiffres par dix et le niveau d'exposition augmente, la menace augmente, le nombre de personnes qui sondent la plateforme augmente », a-t-il ajouté.

Les récentes inquiétudes concernant la sécurité sur Clubhouse vont des vulnérabilités aux questions sur l'infrastructure sous-jacente de l'application. Il y a un peu plus d'une semaine, des chercheurs du Stanford Internet Observatory, une organisation interdisciplinaire de recherche, d'enseignement et d'engagement politique pour l'étude des abus dans les technologies de l'information, ont découvert que l'application transmettait en clair les identifiants des utilisateurs et des salons de discussion, ce qui signifie en pratique qu'une tierce partie aurait pu potentiellement suivre les utilisateurs de l'application. Les chercheurs ont également souligné qu'une partie de l'infrastructure du Clubhouse est gérée par une entreprise basée à Shanghai et qu'il semblait que les données de l'application transitaient à travers la Chine, exposant potentiellement les utilisateurs à une surveillance ciblée ou même généralisée du gouvernement chinois.

En effet, Stanford Internet Observatory a confirmé qu'Agora, un fournisseur de logiciels basé à Shanghai, fournit l'infrastructure de base de l'application Clubhouse. Cette relation avait été largement suspectée auparavant, mais n'avait pas été confirmée publiquement. En outre, Stanford Internet Observatory a déterminé qu'Agora aurait probablement accès à l'audio des utilisateurs, ce qui pourrait donner accès au gouvernement chinois. Stanford Internet Observatory a observé que les métadonnées des salles de discussion étaient relayées à des serveurs qui pourraient être hébergés en Chine. Stanford Internet Observatory dit avoir choisi de divulguer ces failles de sécurité parce qu'elles sont à la fois relativement faciles à découvrir et parce qu'elles posent des risques de sécurité immédiats pour les millions d'utilisateurs du Clubhouse, en particulier ceux de Chine.

Rappelons que, ces dernières années, le gouvernement chinois a montré une volonté accrue de poursuivre ses citoyens pour des discours critiques envers le régime. Les messages audio de l'application Clubhouse, contrairement aux messages Twitter, ne laissent aucune trace publique après le discours, ce qui peut compliquer les efforts de surveillance du gouvernement chinois. La semaine dernière, l'application de chat audio Clubhouse a permis aux utilisateurs d'iPhone de Chine continentale de participer à un rare débat en mandarin sans entraves, avant d'être brusquement bloquée par les censeurs en ligne du pays le lundi 8 février 2021. Selon Stanford Internet Observatory, en plus des conversations informelles sur les voyages et la santé, les utilisateurs ont discuté en toute franchise des camps de concentration ouïgours du Xinjiang, des manifestations de la place Tiananmen en 1989 et de leur expérience personnelle avec la police chinoise.

Plus tôt cette semaine, d'autres révélations faisant état de ce que les discussions sur Clubhouse ont été exposées au profit d'une application Android peu fiable, permettant aux utilisateurs de ce système d'exploitation d'écouter en temps réel les utilisateurs, ont été publiées. Potter, l'un des chercheurs qui ont enquêté sur les différents projets d'extraction de données sur Clubhouse, explique que ces applications ne semblaient pas malveillantes ; elles voulaient simplement rendre le contenu du Clubhouse accessible à un plus grand nombre de personnes.

Notons que Clubhouse n'est pas encore disponible pour les appareils Android. L’application fonctionne sur iOS avec un nombre de restrictions. Il n’est par exemple pas possible de se contenter d'aller sur l'App Store pour télécharger Clubhouse. Elle est actuellement accessible uniquement sur invitation et les utilisateurs existants ne reçoivent que deux invitations à envoyer au début. « Nous avons découvert d'autres failles de sécurité que nous avons exposées en privé au Clubhouse et que nous divulguerons publiquement lorsqu'elles seront fixées ou après un délai déterminé », a indiqué le groupe de chercheurs.

Dans une note aux chercheurs de la Stanford Internet Observatory, Clubhouse a mis au clair les changements spécifiques qu'elle prévoyait d'apporter pour renforcer sa sécurité, notamment la coupure des pings vers les serveurs en Chine et le renforcement de son chiffrement. La société a également déclaré qu'elle travaillerait avec une société tierce de sécurité des données pour l'aider à mener à bien ce projet de renforcement de sa sécurité. En réponse au site web non autorisé qui retransmettait les discussions du Clubhouse, la société a déclaré qu'elle avait interdit de façon permanente l'utilisateur qui se trouvait derrière cette initiative et qu'elle ajouterait des "garanties" supplémentaires pour éviter que de telles situations ne se reproduisent.

Bien que le Clubhouse semble prendre au sérieux les commentaires des chercheurs, la société n'a pas été précise sur toutes les améliorations de sécurité qu'elle a mises en œuvre ou qu'elle prévoit d'ajouter. De plus, étant donné que l'application ne semble pas offrir un chiffrement de bout en bout à ses utilisateurs, les chercheurs disent qu'il y a toujours le sentiment que Clubhouse n'a pas réfléchi de manière adéquate à l’aspect sécuritaire de son application. Et ce, avant même de s'attaquer à certaines des questions fondamentales que l'application soulève en matière de protection de la vie privée.

Lorsqu’un utilisateur démarre une nouvelle salle virtuelle sur Clubhouse, il peut choisir entre : une salle "ouverte" qui est accessible à tout utilisateur de la plateforme, une salle "sociale" qui n'admet que les personnes dans son réseau, et une salle "fermée" qui limite l'accès aux invités. Selon certains analystes, chacun de ces paramètres est assorti d'un niveau implicite de confidentialité, que Clubhouse pourrait rendre plus explicite. « Je pense que pour les salles publiques, Clubhouse devrait donner aux utilisateurs l'impression que public signifie public pour tous les utilisateurs, puisque n'importe qui peut s'y joindre et enregistrer, prendre des notes, etc. », a déclaré David Thiel, directeur technique de Stanford Internet Observatory. « Pour les salles privées, ils peuvent faire comprendre que, comme pour tout mécanisme de communication, un membre autorisé peut enregistrer des contenus et des identités, alors assurez-vous que vous établissez des attentes et que vous faites confiance aux participants ».

Comme tout réseau social de premier plan, Clubhouse a également dû faire face à des abus sur la plateforme. Les conditions de service de l'application interdisent les discours de haine et le racisme. La plateforme offre quelques fonctions de modération, comme la possibilité de bloquer des utilisateurs ou de signaler une salle comme potentiellement abusive.

Source : Stanford Internet Observatory

Et vous ?

Avez-vous déjà utilisé Clubhouse ?

Quel est votre avis sur son concept ?

Quels commentaires faites-vous des failles de sécurité de Clubhouse ?

Voir aussi

Le bitcoin est "en passe" d'être plus largement accepté par les investisseurs, affirme Elon Musk, PDG de Tesla Inc

Mark Zuckerberg veut remplacer les trajets domicile-travail par la RV/RA, il déclare que les travaux sur la fusion de ces deux technologies permettraient à la téléportation de réussir à l'avenir

Neuralink d'Elon Musk a implanté une puce dans le cerveau d'un singe, et il peut maintenant « jouer à des jeux vidéo en utilisant son esprit »

Le réseau social Gab a été piraté, le compte de l'ancien président US Donald Trump et 15 000 autres comptes concernés, les profils, les mots de passe et les messages privés ont été dérobés