En un peu plus de quelques mois, Clubhouse, l’application de médias sociaux audio, a émergé de manière disruptive. Son format semble familier : un petit twitter, un peu linkedin, un petit appel téléphonique à tante Concetta. Vous pouvez en parler et avec tout le monde : discuter d'inspiration avec votre chanteur préféré ? Une belle conversation avec la moitié du monde de la radio, des discussions sur la politique avec les sondeurs les plus célèbres ? Un bar où de nombreuses différences s'effondrent.
L’expansion de Clubhouse montre cependant de manière dramatique les lacunes de cette application en matière de sécurité et de confidentialité : elles obligeront l’entreprise à agir très prochainement.
Clubhouse est toujours en version bêta et disponible uniquement sur iOS pour les invitations. Jusqu'à récemment, il n'y avait qu'UNE seule chambre. Elle offre aujourd'hui à ses utilisateurs la possibilité de les créer à leur guise : il s'agit essentiellement de chats audio de groupe. Ils peuvent être interactifs, avec un modérateur qui « appelle » les gens pour parler et converser de temps en temps, ou à sens unique. Selon signalé, Clubhouse a sur 10 des millions d'utilisateurs et une valeur qui dépasse déjà le milliard de dollars. Le caractère encore relativement élitiste de l'application fait que plusieurs célébrités peuplent les salles, créant un curieux mélange de divertissement et de conversation conviviale. Qu'est-ce qui pourrait mal se passer?
Sécurité, amigo
Clubhouse a un talon d’Achille de la taille d’une maison : affecte la quantité de la confidentialité à laquelle ses utilisateurs doivent s'attendre, et en général la sécurité de l'ensemble du système. Lorsque l’on connaît une telle croissance, tout augmente : le niveau d’exposition, les menaces, le nombre de personnes « sondant » la plateforme pour voler des données.
L'un des chercheurs qui ont étudié les fuites de données de Clubhouse explique que l'application ne dispose d'aucun mécanisme anti-scraping. Autrement dit, Clubhouse n'a pas de « bouclier » contre ceux qui souhaitent prendre des conversations, même depuis plusieurs pièces, et les transmettre ailleurs. Ou enregistrez-les et sauvegardez-les pour analyse.
Analyse de sécurité de Clubhouse par Stanford
Les problèmes de sécurité récents liés à Clubhouse vont des vulnérabilités générales aux questions d'infrastructure. Il y a un peu plus d'une semaine, des chercheurs du Observatoire Internet de Stanford j'ai visé projecteurs sur la plateforme lorsqu'ils ont découvert que l'application transmettait les identifiants des utilisateurs du Clubhouse en clair, ce qui signifie qu'un tiers pourrait potentiellement suivre les actions des utilisateurs sur l'application. Les chercheurs ont également souligné qu'une partie de l'infrastructure de Clubhouse est exploitée par une société basée à Shanghai et qu'il semble que les données de l'application transitent par la Chine pendant au moins une partie du temps, exposant potentiellement les utilisateurs à une surveillance ciblée, voire généralisée, du gouvernement chinois.
Puis vint la confirmation il y a une semaine: Bloomberg a confirmé qu'un site Web tiers collectait et compilait l'audio des conversations au Clubhouse. Plus tôt lundi, d'autres révélations ont suivi selon lesquelles les conversations au Clubhouse avaient été détournées de une application Android non affiliée , permettant aux utilisateurs de ce système d'exploitation d'entendre ce qui se dit en temps réel.
Les réseaux sociaux plus matures comme Facebook ont des mécanismes plus développés pour bloquer leurs données, à la fois pour empêcher les violations de la vie privée des utilisateurs et pour défendre les données qu'ils détiennent en tant qu'actif. Mais même ils peuvent encore avoir des expositions potentielles dues aux techniques de grattage créatif .
Le Clubhouse lui-même était analysé pour sa capacité à encourager le partage des données du carnet d'adresses des utilisateurs. L'application vous oblige à partager votre liste de contacts pour inviter d'autres personnes sur la plateforme, car le système est basé sur les invitations. Cela contribue à créer un sentiment d'exclusivité et de confidentialité, bien sûr, mais de nombreux utilisateurs ont souligné que l'application fait également des suggestions en fonction des numéros de téléphone de vos contacts qui figurent également dans les contacts de la plupart des utilisateurs du Clubhouse. En d’autres termes, si vous et vos amis faites appel au même fleuriste, médecin (ou trafiquant de drogue), ils pourraient très bien apparaître sur votre liste de personnes suggérées à inviter.
De Clubhouse vient un No Comment. Pour combien de temps?
Clubhouse n'a pas répondu aux demandes de plusieurs points de vente de commenter ses récents problèmes de sécurité. Il a détaillé les changements spécifiques qu'il entend apporter, notamment la suppression de passages sur les serveurs chinois et le renforcement de son cryptage. Un peu plus loin : des « garanties » génériques pour éviter que des problèmes n'apparaissent (ou ne reviennent). On a toujours le sentiment que Clubhouse n’a pas suffisamment pensé à sa sécurité, en somme.
Et nous n'avons pas encore considéré la confidentialité
Lorsque vous démarrez une nouvelle salle Clubhouse, vous pouvez choisir entre trois paramètres : une salle « ouverte » à tout utilisateur, une salle « sociale » ouverte uniquement aux personnes que vous suivez et une salle « fermée » avec un accès limité. Chacun a son propre niveau de confidentialité (implicite), que Clubhouse devrait rendre plus explicite.
« Je pense que pour les salles publiques, Clubhouse devrait préciser plus clairement que « public » signifie public pour tous les utilisateurs, puisque n'importe qui peut rejoindre et enregistrer, prendre des notes, etc. », dit-il. David Thiel, directeur de la technologie de l'Observatoire Internet de Stanford. "Pour les salles privées, ils peuvent communiquer que, comme pour tout mécanisme de communication, un membre autorisé peut enregistrer le contenu et l'identité."
Et les abus?
Comme tout grand réseau social, Clubhouse doit également faire face les abus sur sa plateforme. Les conditions d'utilisation de l'application interdisent les discours de haine, le racisme et le harcèlement (un à partir de novembre) et la plateforme propose quelques fonctionnalités de modération. Vous pouvez bloquer des utilisateurs, les signaler ou signaler une salle entière. Le plus gros problème de Clubhouse, cependant, est d’ordre général : les utilisateurs peuvent utiliser la plateforme sans avoir la responsabilité de sauvegarder leur contenu. Apparemment, en bref (apparemment) verba volant. Cela peut inciter certains utilisateurs à formuler des commentaires offensants ou désobligeants, pensant qu'ils ne sont pas enregistrés et ne subiront donc aucune conséquence.
Mais est-ce vraiment le cas?
Thiel de Stanford dit que le Clubhouse stocke actuellement temporairement les enregistrements des discussions. Dans le cas où ils peuvent être utilisés pour des rapports d'abus. Et c'est un serpent qui se mord la queue. Pouquoi? S'il introduit (le cas échéant) un cryptage de bout en bout pour la sécurité des données, il aura plus de difficulté à se connecter. S'il a du mal à enregistrer, il aura du mal à lutter contre les abus. Abus, vie privée, sécurité des données sont interconnectés: il ne sera pas facile de joindre les deux bouts.
Encore une fois: même avec le cryptage, la possibilité pour tout utilisateur de Clubhouse d'enregistrer des conversations par lui-même n'est pas éliminée. Et ce n'est pas quelque chose que Clubhouse peut facilement résoudre.
Cependant, et cela doit être fait le plus rapidement possible, Clubhouse peut être transparent sur ces choses, en informant les utilisateurs sur la conduite à suivre. Car le Clubhouse ressemble à ce bar convivial où l'on peut soudainement rencontrer une célébrité, mais ce n'est évidemment PAS un petit lieu intimiste. Et cela vaut la peine de savoir comment parler et quoi dire.
Quoi qu’il en soit, net de ces (importants) problèmes de sécurité, c’est un réseau social qui a vraiment beaucoup de charme. Et en fait, avec toutes les précautions et l’éducation nécessaires, je me suis lancé. Si vous êtes là aussi et que vous souhaitez discuter avec moi, cherchez Gianluca Riccio sur Clubhouse.
