Ressources
May 28, 2021

L'app Clubhouse est-elle sécurisée ? (Résumé français)

- Important ⚠️ Je ne suis pas l'auteur de cet article. 
Il s'agit du résumé en français de l'article de Kate O'Flaherty, disponible ici -

Malgré l'explosion de sa popularité, l'application Clubhouse présente de grandes lacunes en protection de la vie privée et sécurité.

Un dimanche soir de janvier, Clubhouse a fait irruption dans l'actualité. Une interview avec Elon Musk, fondateur de Tesla et SpaceX a crée un buzz mondial lorsque Vlad Tenev, PDG de Robinhood a pris la parole.

Musk s'est transformé en intervieweur et a demandé à Tenev quelle était la véritable histoire de Wall Street Bets. Rapidement, la room est arrivée au-delà de la limite de 5 000 personnes (imposée par Clubhouse à l'époque).
L'audio a été diffusé en direct sur YouTube - ce qui va à l'encontre des conditions d'utilisation de Clubhouse.

Cela a permis à l'application de se hisser au sommet du palmarès des start-up, tandis qu'un afflux de personnes se bousculait pour obtenir une invitation.

Fondée par les entrepreneurs de la Silicon Valley Paul Davison et Rohan Seth en mars 2020, Clubhouse compte aujourd'hui plus de 2 millions d'utilisateurs et est évaluée à environ 1 milliard de dollars. Elle n'est actuellement disponible que via iOS, mais la version Android est en préparation. Clubhouse n'est accessible que sur invitation: chaque nouvel inscrit peut inviter deux personnes à rejoindre l'application.

Le caractère exclusif de Clubhouse attire des célébrités telles que Kanye West, Jared Leto, Kevin Hart et Oprah Winfrey.
Pour d'autres, l'excitation vient de l'écoute de flux audio en direct depuis des "rooms" virtuelles, avec la possibilité de participer à des discussions si le modérateur le permet.

Mais comme pour de nombreuses start-ups, l'augmentation de la popularité a entraîné une surveillance accrue.
Ces dernières semaines, la réputation de Clubhouse a été mise à mal en matière de confidentialité et de sécurité.


L'application est-elle vraiment sûre ?

Problèmes de collecte de données

L'un des principaux problèmes de Clubhouse: n'importe qui peut enregistrer une room et en diffuser le contenu ailleurs.
Au début du mois de février, le Stanford Internet Observatory (SIO) a découvert qu'un utilisateur diffusait des flux audio et des métadonnées de plusieurs rooms sur un autre site web.
Confirmant à Bloomberg le "déversement" de données, Clubhouse a déclaré que cela violait ses conditions de service.
Ils ont banni l'utilisateur de la plateforme et, sans fournir de détails précis, ont déclaré avoir ajouté des "mesures de protection" pour éviter que cela ne se reproduise.

Mais ce n'était que la partie émergée de l'iceberg. Une semaine plus tard, l'AIR a décrit en détail de multiples problèmes de sécurité et de confidentialité, notamment le fait que le numéro d'identification unique de Clubhouse et l'identifiant de la room de discussion des utilisateurs sont transmis en clair.

Une autre préoccupation majeure est la société basée en Chine qui fournit l'infrastructure dorsale de Clubhouse, Agora.
Elle pourrait potentiellement permettre au gouvernement d'accéder à l'audio brut sur la plateforme.

Jane Manchun Wong, une chercheuse en sécurité, affirme qu'une "faille" dans la conception du back-end de Clubhouse permet aux utilisateurs de diffuser par programmation des données audio à partir de l'API Agora sans nécessairement utiliser l'application Clubhouse elle-même.
Au moment de ses recherches sur l'app, il était possible d'écouter plusieurs pièces simultanément.
En outre, dans une room Clubhouse, chaque intervenant se voit attribuer sa propre piste audio.
Agora ne mélange pas les données audio des intervenants en une seule. Cela pourrait faciliter la collecte de données inutiles.

Clubhouse affirme être "profondément engagé dans la protection des données et la confidentialité des utilisateurs".
Mais un porte-parole admet que l'appli a "identifié quelques domaines dans lesquels elle peut encore renforcer sa protection des données".

De son côté, Agora déclare qu'elle "ne peut confirmer aucun engagement avec Clubhouse ni parler des protocoles de sécurité et de confidentialité de Clubhouse". La société ajoute qu'elle ne stocke ni ne partage les informations personnelles identifiables provenant des applications de ses clients.
"Ces informations sont gérées par les clients d'Agora, au sein de leurs propres applications".

Modération et contrôle des utilisateurs

Clubhouse a été critiqué pour son manque de contrôle de modération pour assurer la sécurité de ses utilisateurs.

Tamara Littleton, PDG et fondatrice de l'agence de marketing The Social Element, a rejoint Clubhouse en janvier et co-host une room réguliere.
Parmi les problèmes que pose la plateforme, Mme Littleton déclare: "Il n'y a aucun moyen de contrôler ce que les gens disent. En tant que modérateur, vous pouvez les supprimer et les signaler, mais n'importe qui peut créer une room qui, par exemple, diffuse des théories du complot."

Wong a été confrontée à des incidents de trolling dans les rooms de langue cantonaise. "Quelqu'un a réussi à monter sur scène et à parler un charabia en se moquant de notre langue, en nous disant de parler anglais, en évoquant des sujets politiquement sensibles qui n'avaient rien à voir avec ce qui était discuté. Nous pouvons les signaler par la suite, mais ces incidents de trolling interrompent le flux de nos discussions. Je ne sais pas comment éviter cela sans compromettre la visibilité de la room."

Un autre problème est le nombre de langues parlées par l'équipe de modération de Clubhouse, alors que l'application se développe à l'international.
Le fondateur de Clubhouse, Paul Davison, affirme que le réseau social est en train d'élargir son équipe de modération afin qu'elle soit en mesure de comprendre davantage de langues.

Clubhouse enregistre tous les sons jusqu'à ce que chaque personne ait quitté la pièce, pour des raisons de sécurité.
Ses conditions d'utilisation stipulent que l'enregistrement audio temporaire est effectué "uniquement dans le but de soutenir les enquêtes sur les incidents" pendant le direct.

Si un utilisateur signale une violation pendant que la room est active, Clubhouse conserve l'audio "à des fins d'enquête sur l'incident" et le supprime lorsque celle-ci est terminée. Si aucun incident n'est signalé, Clubhouse indique qu'il supprime l'enregistrement audio temporaire lorsque la room se termine.
"L'audio des speakers et de l'audience en mute n'est jamais capturée et tous les enregistrements audio temporaires sont cryptés."

Mais cette pratique pose des problèmes de sécurité potentiels.
Comme l'audio n'est pas crypté de bout en bout, il est potentiellement accessible. 

Dans le même temps, les conversations sont enregistrées tant qu'une room est occupée, de sorte que votre microphone reste actif si vous passez à une autre application sans réellement quitter la room, explique Alexander Hanff cofondateur et PDG de Think Privacy.
"Clubhouse continue d'enregistrer tous les microphones non coupés et conserve tous les enregistrements jusqu'à ce que chaque personne quitte effectivement la room."

Littleton souligne que l'enregistrement audio n'est pas inhabituel : il est utilisé dans les jeux en ligne, par exemple, pour contrôler les comportements toxiques.
"Pour moi, on ne peut pas avoir le beurre et l'argent du beurre. Soit c'est en direct et on se fie au comportement humain, soit il y a un délai comme dans la télédiffusion." Pourtant, elle pense que les outils de modération de Clubhouse pourraient être améliorés pour donner plus de contrôle aux utilisateurs.
"Il faut davantage d'actions autour du signalement. Les modérateurs de rooms pourraient voir si la personne a un historique, comme un système de notation à la Uber pour identifier les mauvais comportements."

Pratiques de confidentialité

Selon les experts en protection des données, Clubhouse pourrait manquer de certaines garanties de base en matière de confidentialité nécessaires au Règlement Général sur la Protection des Données (RGPD) de l'UE. Par exemple, si vous souhaitez inviter des amis à utiliser l'application, vous devez donner l'intégralité de votre liste de contacts ; une question qui a déjà suscité l'intérêt des régulateurs en Allemagne.

Selon Pia Tesdorf, conférencière et éducatrice spécialisée dans la confidentialité des données, l'application ne tient pas compte de la protection de la vie privée dès la conception. "Il n'y a pas de mal à partager ses données, mais cela doit se faire de manière opt-in."

Lorsqu'une personne s'inscrit à Clubhouse, il lui suffit de fournir son numéro de téléphone à l'appli. Cependant, Clubhouse demande l'autorisation d'accéder à votre liste de contacts, et ne vous permet pas d'inviter d'autres utilisateurs tant que vous ne l'avez pas accordée. Une fenêtre apparaît plusieurs fois pour vous encourager à "autoriser" . La politique de confidentialité de Clubhouse indique que le "consentement explicite" est nécessaire pour que les gens partagent leurs informations de contact et leur carnet d'adresses.

Clubhouse fait valoir que cette fonctionnalité est uniquement opt-in et n'est pas nécessaire pour utiliser l'appli. "Les gens peuvent choisir d'accorder facultativement l'accès aux contacts de leur téléphone afin de voir qui de leurs amis sont sur l'appli", indique le porte-parole, ajoutant que les utilisateurs peuvent révoquer l'accès aux contacts depuis leurs paramètres iOS, et "contacter le support de Clubhouse pour supprimer toutes les données précédentes".

Clubhouse est une nouvelle application, et comme d'autres - telles que Zoom - elle s'est développée rapidement en fonction de la demande et il s'est avéré qu'elle ne disposait pas des meilleurs dispositifs de sécurité et de confidentialité pour ses utilisateurs.

Selon M. Wong, il existe des solutions simples que l'entreprise peut mettre en place. Clubhouse pourrait se rendre plus securisé en s'assurant que les utilisateurs ne peuvent écouter qu'une seule room et se connecter sur un seul appareil à la fois. "Il pourrait également envisager de crypter les numéros de téléphone avant de les télécharger sur le serveur afin de s'assurer que l'application ne collecte pas plus de données que nécessaire. Mieux encore, retravailler le système d'invitation pour qu'il n'ait pas du tout besoin des données du carnet de contacts."

Les autres news !