Des conversations sur Clubhouse diffusées en continu sur un site tiers

Clubhouse, la plateforme de médias sociaux du jour, a connu un incident de données, un utilisateur non identifié ayant trouvé un moyen de diffuser des flux audio des salons de discussion de l'application vers un site web tiers.

S'adressant à Bloomberg, la porte-parole du Clubhouse, Reema Bahnasy, a confirmé qu'au cours du week-end, un utilisateur a pu extraire des flux audio de « plusieurs salles » et les diffuser sur son propre site web. L'utilisateur fautif a ensuite été « banni définitivement » et la plateforme de médias sociaux a ajouté de nouvelles mesures de protection pour empêcher que la situation ne se reproduise.

L'apparente fuite de données audio fait suite à un rapport publié au début du mois, qui a suscité des inquiétudes quant aux pratiques de la plateforme en matière de données. Suite à la publication de ce rapport du Stanford Internet Observatory (SIO), le Clubhouse a cherché à apaiser les inquiétudes en s'engageant à prendre des mesures pour garantir la confidentialité des utilisateurs.

Lancée en avril 2020, l'application de chat sur invitation et sur iPhone-seulement permet aux utilisateurs d'interagir les uns avec les autres dans des salons de discussion audio privés ou publics. L'application a créé un buzz en permettant aux utilisateurs réguliers d'interagir avec des personnalités de premier plan telles que des célébrités, des athlètes, des capitaines d'industrie et des investisseurs en capital-risque.

Bien que les discussions ne soient pas enregistrées par la plateforme et doivent être suivies en direct, les directives de Clubhouse stipulent que les utilisateurs « ne peuvent pas transcrire, enregistrer, reproduire ou partager les informations obtenues dans le Clubhouse sans autorisation préalable » .

Peu après la publication de ce nouveau numéro, un certain nombre d'exportations en matière de cybersécurité ont été réalisées sur Twitter. David Thiel, directeur technique du SIO, a déclaré qu'il ne pensait pas que cet incident constituait « une activité malveillante, ni qu'il s'agissait d'une faille en soi ».

Il a déclaré que la partie non identifiée derrière l'incident a créé une application JavaScript qui permettrait à quiconque d'écouter l'audio du Clubhouse sans avoir de code d'invitation et de pouvoir également écouter différentes sessions personnelles. « L'application est conçue pour supprimer les chaînes du Clubhouse parmi lesquelles vous pouvez choisir. Un bot rejoindra le canal en votre nom et vous transmettra l'audio en streaming grâce au SDK web de l'Agora. Il n'a pas l'air de transférer les discussions vers le stockage - il semble que le serveur ne voit pas du tout l'audio », a expliqué M. Thiel.

Robert Potter, le PDG d'Internet 2.0, affirme que les problèmes de sécurité et de confidentialité sont des problèmes de départ auxquels sont généralement confrontées les plateformes de médias sociaux en plein essor. Cependant, il partage l’opinion de M. Thiel selon laquelle cette situation relève probablement davantage d’une violation des conditions d'utilisation de l'application plutôt qu’une comme un piratage ou une violation de données.

Porter déclare : « Le résultat final de cette expérience est que les gens ont mis beaucoup de données en ligne sans tenir compte des implications en matière de vie privée. Je recommande vivement aux gens de créer davantage de communautés sécurisées par cryptage pour ce genre de conversations à l'avenir. »

L’opinion d’un expert d’ESET

Jake Moore, spécialiste de la sécurité d'ESET, partage cette impression : « Clubhouse est encore dans sa phase initiale et, comme pour de nombreuses applications, la vie privée de ses utilisateurs n'est souvent qu'une réflexion après coup. Comme lorsque l'utilisation de Zoom a atteint des sommets, le Clubhouse connaît aujourd’hui un énorme succès et apprend au fur et à mesure. Bien trop souvent, la sécurité et la confidentialité des utilisateurs d'une start-up ne sont pas considérées comme aussi importantes que la croissance de l'entreprise. Cependant, sans une protection adéquate, on peut douter de sa longévité. »

Il poursuit en invitant les utilisateurs à limiter la quantité de données personnelles qu'ils partagent avec les services en ligne et à surveiller les nouvelles caractéristiques de sécurité des prochaines versions de l'app.