LastPass, un gestionnaire de mots de passe très populaire, a essuyé quelques critiques suite à un rapport selon lequel son application Android comporte sept traqueurs de publicité et d'analyse intégrés qui recueillent des données allant du type d'appareil de l'utilisateur et de la version Android à la question de savoir si l'utilisateur est sur un forfait gratuit et a activé la protection biométrique.
Mike Kuketz, un chercheur allemand qui a révélé ce problème, estime qu'il est totalement inacceptable que des applications qui traitent des données extrêmement sensibles soient dotées de modules de publicité et d'analyse intégrés. Il ajoute : « Ou pour le dire en termes généraux : aucun code externe propriétaire et non transparent ne peut être intégré dans les applications dans lesquelles des données sensibles sont traitées. Les données que ces modules collectent et transmettent aux fournisseurs tiers ne sont parfois même pas connues des développeurs d'applications eux-mêmes, qui intègrent ces modules dans leurs applications. »
En utilisant Exodus, une plateforme d'audit de confidentialité pour les applications Android, M. Kuketz a découvert qu'une fois l'application Android démarrée, il contacte immédiatement les fournisseurs de suivi. L'application contient Google Firebase Analytics, Segment, Google CrashLytics, AppsFlyer, Mixpanel et Google Analytics.
LECTURES CONNEXES : Six conseils pour vous aider à éviter le marketing ciblé
Les informations recueillies comprennent l'adresse IP de l'appareil, la résolution de l'écran, le fuseau horaire, l'identifiant publicitaire Google, des informations sur le fournisseur de services, ainsi qu'un identifiant utilisateur apparemment généré une seule fois. Pendant que l'application est utilisée, elle transmet des métadonnées sur les nouveaux mots de passe créés et leur type. Les traqueurs ne recueillent toutefois aucune donnée sur le contenu.
Il est important de noter qu'il n'est pas demandé aux utilisateurs de consentir à ce que certaines de leurs données soient transmises à des fournisseurs tiers et Kuketz a appelé l'application pour ne pas permettre aux utilisateurs de refuser la collecte de données. Toutefois, un porte-parole de LastPass a déclaré au Register que l'application offre effectivement ce choix.
« Tous les utilisateurs de LastPass, quel que soit leur navigateur ou leur appareil, ont la possibilité de refuser ces analyses dans leurs paramètres de confidentialité LastPass, situés dans leur compte ici : Paramètres du compte > Afficher les paramètres avancés > Confidentialité. Nous révisons continuellement nos processus existants et nous travaillons à les rendre plus conformes, voire supérieurs, aux exigences des normes de protection des données en vigueur », a déclaré le porte-parole. L'entreprise a également publié la déclaration suivante à la suite du rapport.
LECTURE COMPLÉMENTAIRES : Les applications requièrent‑elles toutes les permissions?
Le porte-parole a également donné l'assurance qu'aucune information sensible d'utilisateur personnellement identifiable ou activité de coffre-fort de mots de passe ne peut passer par les traqueurs, ajoutant que ces derniers ne collectent que des données statistiques agrégées sur l'utilisation de l'application, qui sont ensuite utilisées pour optimiser et améliorer LastPass. Il convient toutefois de noter que certains de ces traqueurs se trouvent également dans plusieurs autres gestionnaires de mots de passe largement utilisés.
Maintenant, bien que le rapport puisse être déconcertant pour les utilisateurs soucieux du respect de la vie privée, il ne devrait pas diminuer les avantages de l'utilisation d'un gestionnaire de mots de passe—y compris pour éviter de faire ces erreurs courantes dans la création de mots de passe. Les utilisateurs désireux de doubler leur sécurité peuvent choisir parmi une variété de solutions gratuites ou payantes, certaines étant même directement intégrées à des solutions de sécurité complètes. Sur ce point, l'ajout d'une couche de sécurité supplémentaire sous la forme de l'authentification multifactorielle peut également être une option souhaitable.