Retour sur l’affaire FaceApp

• Print
• Twitter
• Linkedin

FaceApp vous montrant ce à quoi vous ressemblerez dans 50 ans environ. L’application est devenue très populaire dans le monde entier. Il s’agit d’une entreprise russe, ce qui a déclenché tout un débat sur ce que fait l’application et ne fait pas. Nous avons demandé à nos chercheurs d’analyser l’application, et nous avons vu ce qui suit. Vous pouvez l’utiliser avec les médias pour soutenir l’application. FaceApp peut utiliser vos photos téléchargées et votre image à des fins commerciales. Ci-dessous l’avis de quelques experts sur cette application.

Check Point

Voici ce que nous avons découvert concernant FaceApp :

1. Permissions :

• L’application utilise très peu de permissions, et uniquement celles nécessaires à son fonctionnement.
• État d’Internet et du réseau – pour se connecter aux serveurs de FaceApp et échanger des données.
• Appareil photo – pour prendre des photos et des vidéos.
• Lecture et écriture sur un stockage externe – pour échanger des images avec l’appareil.
• Facturation – pour les achats intra-application (autres filtres je suppose).
• Réveil – fait partie du service FireBase.
• Autres autorisations de gservices.

2. Accès aux données

• Comme mentionné ci-dessus, l’application peut accéder à la galerie et au stockage externe.
• Il est possible de charger un fichier .dex à partir d’Internet, ce qui est utilisé pour les services liés à Google (permission g.)
• Les informations liées à l’appareil sont envoyées sur Internet – fait partie du service FireBase (version d’Android et autres informations similaires)

3. Traitement d’image :

• Nous pouvons dire que l’ensemble des processus de traitement des images est effectué sur les serveurs de FaceApp dans le Cloud.
• Les données sont envoyées sur leurs serveurs, via HTTPS, pour être traitées.

En conclusion, nous n’avons rien trouvé d’extraordinaire dans cette application.Au besoin, nous pouvons fournir une capture d’écran du trafic chiffré vers les serveurs de FaceApp. Cette application semble avoir été développée dans le bon sens ; pas de permissions agressives, et elle fait ce qu’elle prétend faire.

Avast
Nikolaos Chrysaidos, Head of Mobile Threat Intelligence

Nous avons vérifié le trafic web et constaté que FaceApp ne renvoie pas les données sensibles des utilisateurs vers les serveurs. Il n’y a aucun signe d’intrusion malveillante de l’application dans la vie privée. Bien qu’elle recueille effectivement des données et des photos pour pouvoir fonctionner, ce genre de risque est le même qu’avec de nombreuses autres applications comme celle-ci.

Les gens entendent parler d’intelligence artificielle, de vie privée et de la Russie, et s’inquiètent, à juste titre. Toutefois, si nous prenons du recul pour analyser la situation, nous nous rendons compte qu’il ne s’agit pas d’un souci majeur de cybersécurité. Ce n’est pas une application malveillante, même si elle soulève des problèmes en matière de confidentialité. Nous ne sommes pas face à une question urgente mais elle est tout de même très répandue. Les entreprises qui produisent des applications devraient être plus transparentes quant à l’utilisation qu’elles font des données, bien que la responsabilité incombe également aux consommateurs. Ce cas rappelle à nouveau que les bonnes pratiques de sécurité sur les appareils mobiles sont nécessaires.

Une meilleure compréhension de la vie privée et des applications par l’ensemble des utilisateurs pourrait par ailleurs aider à clarifier les problématiques de sécurité avant qu’une application ne soit virale. Lorsque les inquiétudes circulent sur les réseaux sociaux et deviennent un sujet incontournable, le vrai visage du problème devient difficile à voir et à cerner. »

Varonis
Jérôme Soyer

Ce type d’application est un fléau pour la protection de la vie privée. Même si les CGU de l’application Face App ont été rédigées avant l’entrée en vigueur du RGPD, elles auraient pu/dû être mises à jour. Ça n’a pas été le cas, et l’application, qui fait le buzz cet été, viole un bon nombre des règles édictées par le RGPD et qui sont désormais en vigueur : Le droit à l’oubli est impossible à mettre en place, les conditions générales d’utilisation expliquent clairement que les données peuvent être partagées, et que les droits sur les photos seraient même transmis à l’acheteur en cas de vente de l’application à une société tierce !

Et nous avons appris aujourd’hui que l’application collecterait sans raison la liste des amis Facebook des utilisateurs, et permet à l’utilisateur qui s’est connecté via Facebook de télécharger et modifier sur Face App toutes ses photos stockées sur Facebook. Concernant la collecte des amis, cela n’a aucun intérêt pour le fonctionnement de l’application et cela est donc clairement suspect.

En France, de tels manquements auraient mené l’entreprise tout droit en justice. Et à juste titre. Nous nous battons pour que sur Internet la vie de nos citoyens – au niveau européen – soit mieux protégée. Grâce à ce long travail mené, aujourd’hui (entre autres) toute utilisation de données personnelles doit nécessiter le consentement de son propriétaire. A l’inverse, Face App informe ses utilisateurs dans des CGU extrêmement longues, que peu de personnes lisent, que ces derniers lèguent tout simplement à vie le droit à leurs images (celles modifiées). Certes, Face App n’est pas la seule application à indiquer ce type de CGU, mais ça n’est pas une raison pour laisser passer et de concéder du terrain dans le combat que nous menons.

Le fait est que l’application Face App est russe. De là à se dire que la société éditrice se moque complètement des règlementations telles que le RGPD, il n’y a qu’un pas… Même si le développeur se trouve en dehors de l’Union Européenne, la société traite des données d’utilisateurs européens. Bien qu’elle n’ait pas de bureaux dans l’UE, le RGPD l’oblige à désigner un représentant sur le sol européen, ce que Face App n’a manifestement pas fait. Il y a donc là une violation supplémentaire de la réglementation à faire valoir.

Nous pouvons également nous interroger sur l’intention initiale de la société. La société Wireless Lab n’a pas communiqué sur le sujet mais si l’idée était dès le début de collecter des images à des fins commerciales, nous serions face à un vrai vol organisé, et à très grande échelle.

Malheureusement, il n’y a que peu de chances que la société qui a développé cette application ne soit inquiétée par la loi dont elle dépend.

Évidemment, le travail de sensibilisation des utilisateurs reste donc la priorité. Sur le Google Play, l’application obtient la note de 4,5 sur 5 de l’avis de plus de 2,5 millions d’utilisateurs, même si de nombreux avis tentent d’alerter sur les conditions générales peu regardantes sur la vie privée.

Pour bien comprendre le problème, il faut se rendre compte que personne ne donnerait ses photos, ou son appareil photo rempli de ses photos personnelles à un inconnu. Sur Face App, mais c’est aussi le cas sur d’autres applications – que je n’ai pas assez recensées pour en donner les noms ici – l’utilisateur doit s’imposer la même vigilance. A partir du moment où elles ont été données, ses photos personnelles peuvent être utilisées à de multiples fins, sans que plus aucun consentement ne soit demandé : à des fins publicitaires, commerciales, dans des vidéos, clips, voire un jour vendues sur le Darkweb, réutilisée pour la création de faux papiers, etc. ? Autant ne pas prendre le risque… ».

ESET
Lukáš Štefanko, chercheur en cybercriminalité  

La soudaine popularité de l’application FaceApp n’a évidemment pas manqué d’attirer l’attention d’escrocs en mal de profits rapides. Selon une étude menée par les chercheurs ESET, des pirates ont utilisé comme appât une fausse version « Pro » de l’application, et ont créé le « buzz » autour de cette version fictive afin d’en assurer la diffusion.

Ils n’ont par exemple pas hésité à créer un faux site Web proposant cette (fausse) version haut de gamme de FaceApp. Mieux : ils ont réalisé des vidéos YouTube chargées d’en assurer la promotion, évidemment accompagnées des liens frauduleux pour la télécharger. L’une de ces vidéos comptait plus de 150 000 vues au moment de la rédaction de cet article.

Pour rappel, l’application légitime FaceApp, disponible pour Android et iOS, propose divers filtres destinés à modifier le visage de l’utilisateur de manière amusante. Bien que l’application elle-même soit gratuite, certaines fonctionnalités marquées « PRO » sont payantes. Mais il n’existe pas de « version Pro » de l’application a proprement parlé !

En plus du potentiel viral de ses filtres populaires, FaceApp a également généré une sérieuse attention médiatique sur la question du respect des données à caractère personnel.

Dans l’une des escroqueries que nous avons vues, les attaquants utilisent un faux site Web qui prétend offrir une version premium de FaceApp. En réalité, les arnaqueurs poussent leurs victimes à cliquer sans fin sur d’innombrables liens, qui proposent à leur tour l’installation d’applications payantes, la souscription à des abonnements, des annonces, des enquêtes et ainsi de suite. Durant son périple, la victime reçoit également des demandes provenant de divers sites Web pour permettre l’affichage des notifications sur son navigateur. Mais lorsque celles-ci sont activées, ces notifications entraînent l’affichage d’encore plus d’offres non sollicitées !

Les vidéos YouTube frauduleuses contiennent quant à elles des liens de téléchargement qui pointent vers des applications dont la seule fonctionnalité est d’obliger les utilisateurs à installer diverses applications supplémentaires ! Pire : l’usage généralisé des services de raccourcissement des liens (qui cachent donc la destination) pourrait également entraîner l’installation de logiciels malveillants par les utilisateurs trompés.

Il y avait plus de 250 000 résultats de recherche ce vendredi au sujet de cette fausse application FaceApp Pro. Une des vidéos YouTube que nous avons trouvées avait plus de 150 000 vues, mais ses liens malveillants ont été cliqués plus de 90 000 fois », explique. « Les entreprises légitimes ne peuvent que rêver d’atteindre des taux de clics aussi élevés que ceux générés par ces cybercriminels !

Avant de céder eux aussi au buzz de cette application très populaire, les utilisateurs devraient se souvenir des principes de base de la sécurité numérique. En particulier, évitez de télécharger des applications à partir de sources autres que les magasins d’applications officiels, et examinez avec attention toutes les informations disponibles au sujet de l’application (développeur, évaluation, avis d’utilisateurs, etc.). Et n’oubliez pas qu’une solution de sécurité de bonne réputation installée sur un appareil mobile peut aider à éviter le pire dans le cas où ces conseils de sécurité élémentaires n’auraient pas été suivis !

Almond
Francesca Serio, experte en protection de la donnée et en gestion de crise

Utilisation en masse des données à caractère personnel, collecte des données sans consentement, stockage illimité des données… les pratiques des entreprises à l’égard des données à caractère personnel de leurs clients doivent encore considérablement évoluer. Le RGPD, règlement général sur la protection des données, vise justement depuis le 25 mai 2018 à encadrer les obligations des organismes et les droits des personnes concernées sur leurs données. Les autorités de contrôle contribuent à tendre vers cet objectif comme le montre les dernières sanctions, notamment de la CNIL et de l’ICO (https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la; https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/ ).

Cependant le droit et les sanctions ne peuvent pas à eux seuls résoudre les dérives de l’utilisation des données à caractère personnel. Grâce à leur libre arbitre, les utilisateurs ont un rôle central dans la protection de leurs données et peuvent décider quelles données transmettre aux entreprises et si accepter les conditions d’utilisation. Depuis quelques jours, la conformité au RGPD de l’application FaceApp est questionnée, notamment les modalités de recueil du consentement et l’utilisation des données par l’entreprise. Si un contrôle d’une autorité européenne de protection des données est envisageable, personne n’a obligé les individus à utiliser cette application…

Nous constatons toutefois que les personnes concernées sont de plus en plus sensibilisées à l’utilisation qui peut être faite de leurs données. En effet un sondage IFOP réalisé en avril 2019 pour la CNIL, indique que 70% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. Par ailleurs, dans son rapport d’activité 2018 la CNIL indique avoir reçu en 2018 un nombre record de 11 077 plaintes (+32,5% par rapport à 2017). Or 37,5% de ces plaintes portaient sur la diffusion des données sur internet. C’est-à-dire que les entreprises ne satisfaisant pas les demandes de suppression des données présentes sur internet (nom, prénom, coordonnées, commentaires, photographies, vidéos, comptes…), les personnes concernées ont décidé de porter plainte auprès de la CNIL.

Ainsi, ce n’est donc qu’après avoir transmis leurs données et avoir bénéficié gratuitement d’un service, qu’une partie des personnes se dit qu’elle voudrait bien que l’entreprise les supprime pour toujours. Une autre partie ne s’intéresse pas au sort de ses données, mais connait-elle vraiment les risques sur la vie privée, notamment en cas de fuite de données ? Car si les individus n’ont rien à cacher et acceptent de laisser leurs données malgré des CGU peu rassurantes, les conséquences sur leur vie privée peuvent être graves :

Une simple adresse mail peut être utilisée pour du phishing/hameçonnage. Une pratique qui consiste à envoyer des faux mails en se faisant passer pour une marque, afin de récupérer des informations pouvant être réutilisées telles qu’un numéro de carte bancaire ou un mot de passe permettant d’accéder à un service. Début juillet, Orange a effectué une campagne de sensibilisation sur le phishing en lançant une offre de 6G à 0€ (https://www.zdnet.fr/actualites/6g-a-0-orange-lance-une-campagne-choc-contre-le-phishing-39887059.htm). Les conséquences pour les individus peuvent notamment être financières, en cas de vol de numéro de carte bancaire (perte financière, détournement d’argent non indemnisé, interdit bancaire).

Une photo, couplée à des informations sur l’âge, la date de naissance, une adresse… peut être utilisée pour faire de l’usurpation d’identité via la création d’une une fausse carte d’identité, ou en accédant à des services au nom de la personne par exemple. Démontrer à postériori avoir été victime d’une usurpation d’identité peut s’avérer très compliqué.

En tant que cabinet de conseil en sécurité informatique et protection des données, nous conseillons vivement de prendre en considération ces risques avant de laisser ses données à des entreprises peu respectueuses de la vie privée. A fortiori si ce sont des données de tierces personnes (familles, amis…) laissées sans leur consentement.

McAffe
Thomas Roccia, Chercheur en sécurité

Si une société de cybersécurité ne peut proposer d’élixir de jouvence, quelques conseils de base peuvent permettre de limiter le risque.

1 – Attention aux autorisations !

Les smartphones embarquent aujourd’hui des quantités pharaoniques de données personnelles et confidentielles. Cela peut être nos informations de localisation, nos habitudes de navigation, nos résultats de recherche, notre consommation de contenu, ou encore nos photos et vidéos.

Toute application peut potentiellement accéder à ces informations si le propriétaire en donne l’autorisation. Il est primordial que les utilisateurs soit sensibilisés à reconnaitre l’importance de ces autorisations pour ne pas donner accès à leurs données personnelles à la première application téléchargée.

En effet, les conditions d’utilisation de certaines applications soulèvent des interrogations quant à la protection de la vie privée, car elles n’explicitent pas clairement comment les données sont utilisées. En se voyant accordée certaines autorisations, par le biais de son application, une entreprise peut en tirer profit au dépend de l’utilisateur.

2 – Lorsque les données sont envoyées, elles ne vous appartiennent déjà plus !

Dans leurs conditions d’utilisation, FaceApp stipule que les données envoyées seront utilisées pour différents usages tels que l’alimentation de leur base de données pour l’optimisation des algorithmes ou encore pour de la publicité ciblée. Une fois que la photo se trouve sur FaceApp, c’est l’entreprise qui décide de la manière dont elle va l’utiliser.

3 – Comprendre la politique de confidentialité d’une application

FaceApp, comme beaucoup d’applications tierces, acquiert les données des utilisateurs afin de fournir la meilleure expérience possible. Ces programmes ont généralement une politique de confidentialité qui doit définir comment les données personnelles acquises sont traitées du début à la fin, l’utilisation à laquelle elles sont destinées, les politiques de stockage et de transfert, la durée de conservation des données par l’application, la façon dont l’utilisateur peut demander leur suppression, et si les données sont accessibles par des tiers.

Les utilisateurs doivent faire attention aux informations personnelles auxquelles l’application accède, qu’il s’agisse de leur nom, d’images, des données de localisation, ou des habitudes de navigation. Il faut également être attentif à toute notification invitant à accepter de nouveaux termes et conditions, et se demander quelle est leur nature et leur but.

4 – Faire preuve de bon sens !

De nos jours l’utilisation d’applications fait partie intégrante de nos vies. La collecte de données par ce biais est une pratique intrinsèque à ce genre d’applications et un business model éprouvé. Bien que la plupart des utilisateurs aiment surfer sur les nouvelles tendances, il est important de mesurer les risques et conséquences de l’envoi de données personnelles dans le Cloud.

Il est également important de comprendre comment les données peuvent être utilisées et accessibles par des sites et applications tierces.

Il existe également des applications de sécurité réputées qui peuvent aider les utilisateurs à déterminer quelles autorisations sont demandées et à analyser les applications qui peuvent être source de préoccupation. McAfee propose des solutions device-to-cloud adaptées à ce type d’usage permettant d’améliorer la sécurité de ses équipements et d’en garder le contrôle.

Mais de manière générale, et sans tomber dans la paranoïa, une bonne habitude à prendre est de systématiquement se poser la question s’il est nécessaire qu’une tierce partie accède à ses données.