Alibaba récolte l’activité Web « privée » de millions d’utilisateurs Android et iPhone

Si vous avez téléchargé l’application UC Browser d’Alibaba ce mois-ci, que ce soit sur la boutique Android Play de Google ou sur l’App Store iOS d’Apple, on vous a promis qu’avec son mode « incognito », aucun historique de navigation ou de recherche ne serait enregistré. La promesse est-elle tenue ? 

Ces garanties, ainsi que les promesses de temps de téléchargement rapides, ont rendu l’application créée par UCWeb, filiale d’Alibaba, incroyablement populaire dans le monde entier, avec 500 millions de téléchargements sur Android seulement.
Si les Américains n’ont peut-être jamais entendu parler de l’application, selon une analyse, elle est le quatrième plus grand navigateur en nombre d’utilisateurs dans le monde, en grande partie grâce à l’importance des bases d’utilisateurs en Asie. Avant d’être interdit par le gouvernement indien pour des raisons de sécurité liées à des applications chinoises, il était l’un des navigateurs les plus populaires en Inde.

Mais les promesses de confidentialité faites par UCWeb sont trompeuses, selon le chercheur en sécurité Gabi Cirlig. Ses conclusions, vérifiées pour Forbes par deux autres chercheurs indépendants, révèlent que sur les versions Android et iOS d’UC Browser, chaque site web visité par un utilisateur, qu’il soit en mode incognito ou non, est envoyé vers des serveurs appartenant à UCWeb. Selon M. Cirlig, les adresses IP – qui peuvent être utilisées pour obtenir la localisation approximative d’un utilisateur jusqu’à sa ville ou son quartier – sont également envoyées à des serveurs contrôlés par Alibaba. Un numéro d’identification est également attribué à chaque utilisateur, ce qui signifie que son activité sur différents sites Web pourrait effectivement être surveillée par la société chinoise, bien que l’on ne sache pas encore très bien ce qu’Alibaba et sa filiale font de ces données. « Cela pourrait facilement permettre de prendre les empreintes digitales des utilisateurs et de les relier à leurs véritables personnalités », écrit Gabi Cirlig dans un billet de blog remis à Forbes avant sa publication.
Gabi Cirlig a pu découvrir le problème par rétro-ingénierie de certaines données cryptées qu’il a repérées et qui étaient renvoyées à Pékin. Une fois la clé déchiffrée, il a pu constater que chaque fois qu’il visitait un site Web, celui-ci était crypté et renvoyé à la société Alibaba. Sur l’iOS d’Apple, il n’a même pas eu besoin de faire de la rétro-ingénierie sur le cryptage car il n’y en avait pas sur l’appareil (bien qu’il soit crypté lorsqu’il est en transit).

« Ce type de suivi est fait exprès, sans aucun égard pour la vie privée des utilisateurs », a déclaré M. Cirlig à Forbes. Par rapport au navigateur Chrome de Google, par exemple, il ne transfère pas les habitudes de navigation de l’utilisateur lorsqu’il est en mode incognito. M. Cirlig a déclaré qu’il avait examiné d’autres grands navigateurs et qu’aucun ne faisait la même chose qu’UC Browser. Il a ajouté que si les cookies peuvent suivre les utilisateurs de la même manière, c’est très différent de « l’obtention des URL par le navigateur, qui les mémorise et les utilise ».
Dans une vidéo, M. Cirlig a montré ce qu’il se passait lorsqu’il utilisait UC Browser, et notamment comment un numéro d’identité unique lui avait été attribué.
La version iOS de l’application appartenant à Alibaba présentait un autre problème : comme elle n’avait pas été mise à jour après l’introduction par Apple d’une fonctionnalité sur l’App Store permettant de détailler les pratiques de chaque application en matière de confidentialité, la collecte des données de navigation des utilisateurs n’était pas divulguée à ces derniers. La semaine dernière, cependant, une mise à jour non spécifiée et non annoncée de l’App Store a permis d’inclure le suivi via les identifiants uniques et les historiques de recherche dans les informations de confidentialité de l’application. En revanche, le suivi de la navigation sur Internet n’a pas été révélé.
Mais dès mardi matin, la version anglaise d’UC Browser n’était pas accessible sur l’App Store d’Apple, alors qu’une version chinoise était disponible. (M. Cirlig a déclaré qu’il ne semblait pas que cette version transmettait les mêmes données). La raison pour laquelle la version anglaise a été supprimée n’est pas claire, mais elle reste disponible sur Google Play. Au moment de la publication, aucune des entreprises – Alibaba, Apple ou Google – n’avait fait de déclaration après plusieurs demandes de commentaires.

Nicolas Agnese, un chercheur en cybersécurité basé en Argentine qui a validé ce qu’il se passait avec l’application UC Web sur les iPhone, a soulevé un autre problème : si iOS est « très sûr » à certains égards, il craint que des pratiques portant atteinte à la vie privée ne soient autorisées sur les applications une fois qu’elles ont passé le processus d’examen de l’App Store.
Selon un rapport publié par The Information en avril, Alibaba, dont la capitalisation boursière s’élève à 600 milliards de dollars, s’inquiète de la fonction App Tracking Transparency d’Apple, qui permet aux utilisateurs d’empêcher les applications de les suivre. L’activité d’Alibaba est alimentée par la publicité, elle-même alimentée par d’énormes quantités de données sur les utilisateurs. Le fait que l’une de ses applications mobiles les plus populaires soit désormais inaccessible sur l’App Store d’Apple est l’un des premiers signes tangibles que la ligne dure du fabricant de l’iPhone en matière de protection de la vie privée pose des problèmes importants à des entreprises comme Alibaba.
Ce n’est pas la première fois que l’on découvre que les géants chinois de la technologie traquent les utilisateurs. Les problèmes d’UC Browser ne sont pas différents de ceux découverts par Gabi Cirlig l’année dernière lorsqu’il a examiné la sécurité du navigateur de Xiaomi, l’application par défaut pour les recherches sur le web sur les téléphones du géant chinois. Il faisait à peu près la même chose, en enregistrant chaque site Web visité par un utilisateur, même lorsque celui-ci était en mode incognito. Bien qu’elle ait nié les conclusions des chercheurs, la société a ensuite publié une mise à jour de l’application permettant aux utilisateurs de refuser ce qu’elle considère comme une collecte de données anonymes et agrégées. Cette nouvelle est intervenue juste après que le chercheur en sécurité a découvert qu’un autre développeur d’applications chinois Cheetah Mobile, coté à la bourse de New York, avait une application de sécurité avec un navigateur « privé » qui collectait des informations sur l’utilisation d’Internet et les noms des points d’accès Wi-Fi, entre autres données. Cheetah Mobile a déclaré avoir besoin de ces données pour s’assurer que les utilisateurs ne visitaient pas de sites web dangereux et que l’application fonctionnait correctement.

Article traduit de Forbes US – Auteur

<<< À lire également : Colossale amende pour Alibaba | La Reine Elizabeth II ressent un grand vide | Vaccins : au tour des 55 ans ! >>>