Depuis le lancement de Clubhouse, service de chat audio accessible sur invitation uniquement, ce dernier s’est propulsé dans le top des téléchargements de l’App Store, et son audience est passée de 600 000 à 10 millions en seulement quelques semaines. Tout le monde parle de cette application ces derniers temps, pour de bonnes et de mauvaises raisons. Au milieu de ce battage médiatique, on oublie facilement les menaces qui planent sur notre vie privée et même sur notre portefeuille.
Qu’est-ce que Clubhouse
Si vous ne le savez pas encore, Clubhouse est une application qui propose un espace où il est possible de converser par audio. Les utilisateurs peuvent écouter une conversation ou bien la rejoindre (avec l’autorisation de l’organisateur). L’un des premiers amateurs renommés de l’application est Elon Musk, qui a posté un tweet en janvier dernier déclenchant une vague d’intérêt pour l’application ; suivi par Mark Zuckerberg, puis Drake ainsi que d’autres célébrités. Un tel engouement est plus que bénéfique et l’audience de Clubhouse s’est rapidement élargie.
Cependant, cette application est toujours en version bêta, et les arnaqueurs toujours à l’affût cherchent comment profiter des nouveaux réseaux sociaux dont la sécurité est loin d’être irréprochable.
L’autre Clubhouse
Clubhouse a envoyé une onde de choc, mais a aussi créé de la confusion. Quand Elon Musk a annoncé faire partie de ce réseau social, les investisseurs se sont précipités pour acheter des actions, mais ils se sont trompés et ont choisi une autre application au nom similaire, pourtant totalement différente. Le « vrai » Clubhouse n’a pas encore été rendu public.
De plus, Clubhouse est une application disponible seulement sur les iPhones. Mais cela n’a pas empêché les amateurs de chat de télécharger une application de gestion de projet du même nom sur Google Play. Les utilisateurs sont devenus furieux lorsqu’ils se sont rendu compte de leur erreur et ont bombardé l’application de commentaires, forçant les créateurs à retirer temporairement l’application du Play Store.
Ces problèmes, bien que néfastes, ne constituent cependant pas une menace directe pour les utilisateurs de Clubhouse, même si Google Play est rempli de faux Clubhouse, visibles à des kilomètres. Les utilisateurs de smartphones ou de tablettes qui installent cette application courent le risque de donner accès aux cybercriminels à leurs mots de passe pour les banques en ligne et les réseaux sociaux, ainsi qu’à leurs contacts, sans compter qu’ils seront envahis par les publicités.
Les utilisateurs Android qui souhaitent rejoindre une conversation sur Clubhouse doivent juste être attentifs au site web de Clubhouse et attendre la sortie officielle de l’application sur Google Play.
Problèmes de confidentialité sur Clubhouse
Comme Clubhouse est toujours en version bêta, l’application est supposée être limitée à un certain nombre d’utilisateurs afin de détecter les bugs et de les réparer plus facilement. Sans surprise, certains bugs sont apparus dans le système de sécurité de l’application.
Durant la courte existence de Clubhouse, les experts ont déjà dû rappeler plusieurs fois que l’application ne garantit pas la vie privée de l’utilisateur. Aux alentours de mi-février, des chercheurs de l’Observatoire Internet de Stanford (SIO) ont découvert que l’identifiant de l’utilisateur et de la salle de chat sont transmis aux serveurs en texte brut . L’Observatoire Internet de Stanford a affirmé qu’Agora, le fournisseur de l’infrastructure de soutien pour Clubhouse, a très certainement accès aux audios des utilisateurs, même si personne n’a confirmé ni réfuté ces dires.
Quelques jours après que l’Observatoire Internet de Stanford a écrit à propos de Clubhouse, des rumeurs de fuite de fichiers ont été lancées sur Twitter, et Clubhouse les a confirmées par la suite. Il a été signalé qu’un certain utilisateur a réussi à diffuser du contenu provenant de l’application sur leur site web. L’entreprise n’a fait aucun commentaire détaillé à propos de l’incident, mais a précisé que l’utilisateur avait enfreint la politique de confidentialité et qu’il ne s’agissait pas d’un piratage. Le coupable étant banni, les développeurs ont promis de régler le bug. Il est difficile de savoir combien de failles il reste dans le programme, d’autant plus qu’il n’est pas encore terminé.
L’Observatoire Internet de Stanford a aussi constaté qu’un technophile saurait facilement trouver le code de décryptage de l’application. C’est ce qu’a démontré un développeur de Saint-Pétersbourg en créant un client non officiel de Clubhouse pour Android en un jour. C’est une raison de plus pour que les utilisateurs réfléchissent aux vulnérabilités qui pourraient se cacher dans le code.
Il n’y a pas besoin de pirater
Une fois le compte créé, l’application demande à avoir accès à votre liste de contacts. Si vous refusez, vous ne pourrez inviter personne sur le réseau social. Par conséquent, pour avoir un accès total à Clubhouse, vous devez leur donner vos contacts. De plus, la politique de confidentialité autorise les développeurs à transférer ces données à des tiers, à des sous-traitants mais aussi à des agences de marketing et aux forces de l’ordre.
De plus, l’application ne propose pas de navigation privée, donc toutes vos actions laissent des traces. Cette dernière ne possède pas non plus la fonction « Supprimer le compte ». Pour lancer cette procédure, vous devez envoyer une requête par écrit.
Pour couronner le tout, Clubhouse ne dispose pas actuellement d’une véritable vérification de compte. En somme, tout le monde peut se faire passer pour n’importe qui. Les utilisateurs se sont fait avoir par un faux Brad Pitt, parmi tant d’autres. Les cas d’usurpation d’identité peuvent être considérés comme des blagues inoffensives, mais cela pose un bien plus gros problème : les arnaqueurs ont toujours utilisé des faux mais aussi des vrais comptes de célébrités à leurs propres fins – rappelez-vous les nombreuses arnaques aux Bitcoins sur Twitter.
Il ne faut pas croire tout ce que vous entendez ; c’est aussi valable pour les salles de chat de Clubhouse. Si une personne connue vous redirige vers un projet intéressant, vérifiez les informations dans des sources que vous connaissez.
Conseils et recommandations
- À la publication de cet article, Clubhouse n’était pas disponible sur Android, donc ne tombez pas dans le piège des fausses applications sur Google Play.
- Ne faites pas confiance à Clubhouse pour garder vos conversations et vos actions privées. Ne partagez que les informations que vous publieriez normalement en public.
- Avant d’installer une nouvelle application, réfléchissez bien si vous en avez réellement besoin. Si oui, pouvez-vous attendre que les erreurs de la version bêta ou la version 1.0 aient été éliminées ?
- Faites des recherches sur les applications avant de les installer – trouvez leurs développeurs, le type de données qu’ils veulent et avec qui il peuvent les partager.
- Restez sur vos gardes : les arnaqueurs sont toujours en train d’élaborer de nouveaux plans afin d’escroquer les utilisateurs. Bien entendu, nous continuerons de les démasquer, donc restez dans les alentours, et pendant ce temps, essayez de ne pas devenir une de leurs prochaines victimes.
- Équipez vos appareils avec une solution de sécurité fiable qui bloque les malwares et même les applications se faisant passer pour Clubhouse sur Android.