On ne va pas vous le cacher, cette semaine nous avons relayé beaucoup d’informations concernant la collecte de données personnelles par certaines entreprises de la Tech. On pense notamment aux accusations qui ont visé Wiko et OnePlus.
Or, derrière ces deux « affaires », c’est toujours la même personne qui a jeté la première pierre : un développeur spécialisé en sécurité informatique qui se cache derrière le pseudonyme « Elliot Alderson ». Et ce dernier est encore à l’origine d’une nouvelle découverte sur ce sujet de collecte de données qui lui est très cher. Cette fois-ci, c’est à PayPal qu’il s’attaque.
Elliot Alderson a fouillé dans le code de l’application Android du célèbre service de paiement en ligne et ce qu’il y a trouvé ne lui a pas plu du tout.
Tout d’abord, il s’est rendu compte d’une incongruité au sein des outils antifraude. Tout le SDK de PayPal est parfaitement open source — et il est donc facile de fouiller dedans — sauf toute la partie concernant les métadonnées collectées par l’application qui reste obfusquée (impénétrable) et non disponible sur GitHub, contrairement au reste du code. C’est comme si PayPal voulait masquer cette information.
La mesure est toutefois assez vaine puisqu’en poussant la recherche un peu plus loin, Elliot Alderson a pu avoir un aperçu de toutes les données récoltées.
Dans les captures d’écran ci-dessus, on peut voir que le SDK de PayPal est pensé pour récolter un très grand nombre d’informations dont, entre autres, celles qui suivent :
- la géolocalisation ;
- l’adresse IP ;
- le SSID du réseau Wi-FI ;
- les données de l’antenne relais ;
- le temps depuis lequel l’appareil est allumé ;
- l’opérateur téléphonique ;
- les informations sur le roaming ;
- l’espace de stockage ;
- etc.
Pourquoi récolter ces données ?
Ne crions pas tout de suite à l’espionnage. Mais comme le souligne le développeur, on est en droit de se demander pour quelles raisons PayPal a besoin de toutes ces informations et pourquoi le service a-t-il manqué de transparence.
Un autre développeur répond d’ailleurs à Elliot Alderson en affirmant que ce SDK ne sert même pas vraiment à mettre en place des outils antifraude.
Nous avons contacté PayPal afin de connaître sa position officielle face à cette problématique. Voici sa réponse :
Nos clients nous font confiance pour leur argent et leurs informations personnelles, et nous prenons cette responsabilité très au sérieux, en accord avec les lois locales sur la vie privée. PayPal collecte et utilise des informations personnelles afin de vérifier les paiements, gérer les risques, aider à protéger nos clients contre la fraude ainsi que communiquer avec eux en fonction de leurs préférences, comme énoncé dans notre règlement sur la vie privée.
PayPal semble botter en touche avec cette déclaration et ne répond pas vraiment aux inquiétudes soulevées par Elliot Alderson.
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
[…] En outre, il s’est également attaqué à Wiko qui se montrait un peu trop indiscret vis-à-vis de certaines informations sensibles sur ses consommateurs — la marque marseillaise a annoncé une grosse mise à jour de ses appareils pour y remédier —, et il a aussi découvert qu’un modèle en particulier, le Wiko Freddy, se trouvait être particulièrement vulnérable en termes de sécurité. Enfin, le service de paiement en ligne PayPal en a également pris pour son grade. […]
[…] PayPal accusé de collecter plus de données personnelles que … Frandroid […]
+ OUT OF RANGE ERROR ;-)
+484
Bah, c'est à la portée de n'importe qui. Il te faut juste les outils nécessaires et <a href="https://forum.xda-developers.com/android/software-hacking/tool-apk-easy-tool-v1-02-windows-gui-t3333960">APK Easy tool</a> fait bien le job.
Avoir un iPhone et un compte Facebook Twitter Instagram et cie
Sauf que avec le RGPD il va falloir qu'ils se justifient un peu plus que ça car la collecte de données doit être strictement limitée au besoin du Traitement et le Responsable de Traitement doit pouvoir justifier de la nécessité de chaque donnée auprès de la personne (le client PayPal) ou des autorités de contrôle.
Pas besoin de nettoyer après visite, tu ouvres ta session bancaire avec le navigateur en mode privé et voilà quand tu quittes le navigateur il n'y a plus de trace.
+1, je rajouterai, être sur Android et craindre pour les données personnelles, euh... hum :s
ils font tous ça. et black friday donc vos données sont monnayées a mort vive les consommateurs moutons?
T'as l'air de t'y connaître
Franchement, pour un système anti-fraude, ça ne me choque pas : disons que sur les infos collectées qui sont montrées dans l'article, il y a plein de choses anodines mais qui, cumulées, peuvent laisser entendre qu'il y a un potentiel risque d'utilisation malveillante... et on parle bien ici d'un système anti-fraude. Donc pourquoi pas !? Par exemple, les coordonnées GPS de quelqu'un qui est généralement en Allemagne, qui passe une commande depuis l'Allemagne et qui passe une commande depuis l'Argentine 10 minutes plus tard, là, je pense qu'il y a fraude. Maintenant, quand je vois que même l'appli de mon cinéma de quartier veut mes coordonnées GPS pour commander un billet, il n'y a plus grand chose qui me choque... et effectivement, libre à chacun d'installer ou non toutes ces applications. Et si on ne veut pas d'intrusion dans notre vie privée, il doit rester quelques Nokia 3310 sur le marché !?
Cela ne m'étonnerait pas de Paypal qu'ils fassent des choses louches ...
Pour cela il suffit de decompiler les applications pour vérifier mais la liste des suspects peut être sacrément longue...
Heureusement que j'utilise pas leur appli. Par contre, ne vous attendez pas une seule réponse de la part de PayPal. Ces genres d'entreprises ne côtoient pas les journalistes fouineurs au risque de compromettre leur fiabilité (dans leur cas, c'est foutue).
Bientôt top 10 des applications et marques qui ne collecte pas vos données. Enfin plutôt top 5, pas sur que l'on en trouve 10...
Pourquoi surcharger son smartphone d'applis souvent inutiles. Il est beaucoup plus intéressant, en ce qui concerne les sites tels que banque, Paypal ou autres, de se connecter directement avec le navigateur. Une fois les transacs faites on se déconnecte puis on passe un coup de nettoyage du navigateur et terminé, non ? C'est clair que de toutes façons la vie privée n'existe plus quand on a un smartphone, une tablette ou un ordi
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix