Snapchat, l’application mobile de photos et vidéos éphémères qui fait fureur depuis début 2013, a été piratée par des hackers australiens. Ces derniers ont rendu publics les pseudos et numéros de téléphone de 4,6 millions de comptes d’utilisateurs afin de donner une « bonne leçon » à ses créateurs : la politique de sécurisation et de protection des données personnelles de Snapchat est inadaptée. Une affaire qui s’ajoute au climat mondial actuellement tendu quant à la prise de conscience par les personnes, de l’utilisation souvent illicite de leurs données privées.

Snapchat : une politique de protection des données personnelles controversée

Ce sont deux étudiants de Stanford qui sont à l’origine de la création, en 2011, du concept Snapchat. L’application d’Evan Spiegel et Bobby Murphy est disponible sur les plate-formes mobiles Androïd et iOS et permet aux personnes ayant créé leur compte d’utilisateurs, de s’envoyer des photos et vidéos dites « éphémères », c’est-à-dire que celles-ci s’autodétruisent au bout d’une à dix secondes. Une application rêvée pour James Bond et un concept attractif pour le jeune public qui ne transmet pas moins de 200 millions de « snaps » chaque jour.

Un succès incontestable pour Snapchat qui s’explique justement par la disparition quasi instantanée de l’élément reçu par un utilisateur. En effet, le snap qui cesse d’être visible, qui est effacé des serveurs et ne laisse aucune trace, permet normalement aux usagers de garder confidentielle toute photo ou vidéo envoyée. En d’autres termes, il s’agit d’une forme de droit à l’oubli instantané. Ainsi, ceux-ci pensent-ils être à l’abri de toute divulgation ou utilisation illicites des données relatives à leur vie privée. Une idée bien éloignée de la réalité. Par exemple, par excès de confiance de certains utilisateurs, différentes pratiques ont fait leur apparition à savoir l’envoi de snaps sexys ou pornographiques. C’était sans compter l’existence de l’option « capture d’écran » disponible sur les mobiles et qui a conduit aux mêmes dérives que celles existant sur les autres réseaux sociaux.

Cette illusion de protection des données privées est, d’autant plus, contrariée par la lecture des conditions générales d’utilisation de Snapchat et plus particulièrement de la politique de confidentialité. Il en ressort que, comme pour tous les grands réseaux sociaux, les données des usagers sont exploitées (données d’envois et de transmissions des snaps par exemple), que Snapchat se déresponsabilise de toute situation litigieuse ou dérive née de l’utilisation de l’application ainsi que de la possibilité d’une faille dans la sécurité du programme et ses éventuelles conséquences.

Une politique de protection et de sécurisation des données personnelles peu étonnante pour une société créée aux États-Unis. En effet, le droit américain, toujours guidé par une philosophie libérale et économique , ne prévoit pas de réglementation générale concernant les données privées contrairement au droit français et au droit de l’Union européenne qui assurent une vraie protection aux personnes face à la collecte et l’exploitation de celles-ci. Ainsi, aux États-Unis, les règles de protection des données sont sectorielles et il appartient aux entreprises, seules, de se doter d’une politique de sécurisation des données de leurs clients. Ce principe de « l’accountability » est de plus en plus important en ce qu’il permet de développer une confiance chez les consommateurs, de créer une image, de protéger l’e-réputation de l’entreprise qui dépend fortement des moyens mis en œuvre pour la sauvegarde de ces données.

C’est donc pour rappeler à Snapchat l’importance d’une telle sécurité et aux utilisateurs, la nécessité de protéger leurs données, que des hackers, le 1er janvier dernier, ont piraté les serveurs de la société et mis à jour les informations personnelles de 4,6 millions de comptes d’utilisateurs.

Snapchat piraté : une leçon à prendre en compte

En août dernier, des hackers avaient signalé à Snapchat l’existence de plusieurs failles de sécurité dans son interface de programmation qui auraient aisément permis à des pirates informatiques d’acquérir certaines données privées des usagers du service et notamment les numéros de téléphones mobiles de ceux-ci, faciles à associer aux pseudos des comptes créés sur l’application mais également aux identifiants employés par ceux-ci sur d’autres réseaux sociaux tels que Facebook ou Twitter. Autrement dit, une porte ouverte à l’utilisation illicite de nombreuses données personnelles.

L’avertissement est resté sans réponse jusqu’à ce que Gibson Security, le 25 décembre, n’informe à son tour la société de l’existence de cette brèche dans la sécurité du programme. Le 27 décembre, Snapchat a enfin réagi en publiant une communication courte et évasive sur son blog officiel, qui prenait acte de la présence potentielle de cette faille, minimisant les potentielles conséquences de celle-ci et assurant que des moyens techniques avaient été mis en œuvre afin de prévenir un éventuel piratage ainsi que la possibilité de divulgation des données des utilisateurs.

Pourtant, le 1er janvier, ce sont bien les numéros de téléphones mobiles et pseudonymes (toutefois en partie masqués pour éviter d’éventuels abus) de plus de 4,6 millions d’usagers de Snapchat qui ont été divulgués au public par des hackers sur le site internet intitulé « SnapchatDB.info ». Ces pirates revendiquent avoir utilisé la technique décrite précédemment en contournant les quelques obstacles informatiques ajoutés par les programmateurs de Snapchat et clament vouloir donner une leçon afin que le service se dote de moyens techniques accentués pour protéger les données personnelles des utilisateurs.

Les pirates informatiques ont néanmoins rapidement désactivé le site au vu du nombre important de connexions sur celui-ci et pour prévenir d’éventuels abus ou dérapages imprévus. En effet, le fait de voir de telles informations ainsi publiées peut engendrer de nombreux problèmes. Par exemple, les numéros de téléphones appréhendés par des entités commerciales pourraient conduire à l’envoi répété et non souhaité de messages publicitaires à ces personnes qui seraient alors victimes de spams. De même que ces listes pourraient être saisies, sans autorisation, par des personnes peu scrupuleuses. Les hackers, eux, ont cependant rendu accessible à des professionnels de l’informatique, des détectives et des avocats, la version complète du document.

À ce jour, les créateurs de Snapchat n’ont pas communiqué sur l’affaire peut-être encore inconscients des risques de la mauvaise gestion d’une telle crise pour l’entreprise. La confiance des utilisateurs mise à mal et la prise de conscience de ceux-ci, c’est l’e-réputation de l’entreprise qui risque d’être fortement entachée. Ainsi, ce sont les potentielles conséquences, à l’heure actuelle, du choix d’une politique de protection des données personnelles inadaptée.

Sources :

PEPIN G., « Les données de 4,6 millions d’utilisateurs de Snapchat publiées sur Internet », lemonde.fr, mis en ligne le 2 janvier 2014, consulté le 2 janvier 2014, disponible sur <http://www.lemonde.fr/technologies/article/2014/01/02/les-donnees-de-4-6-millions-d-utilisateurs-de-snapchat-publiees-sur-internet_4342383_651865.html>

SCHMITT A., « 4,6 millions de comptes Snapchat piratés… pour donner une leçon », lenouvelobs.com, mis en ligne le 2 janvier 2014, consulté le 2 janvier 2014, disponible sur <http://tempsreel.nouvelobs.com/vu-sur-le-web/20140102.OBS1240/4-6-millions-de-comptes-snapchat-pirates-pour-donner-une-lecon.html>

SKILLINGS J., « Overexposed: Snapchat user info from 4.6M accounts », cnet.com, mis en ligne le 1er janvier 2014, consulté le 1er janvier 2014, disponible sur <http://news.cnet.com/8301-1023_3-57616434-93/overexposed-snapchat-user-info-from-4.6m-accounts/>

ZIEGLER C., « Alleged Snapchat hackers explain how and why they leaked data on 4.6 million accounts », theverge.com, mis en ligne le 1er janvier 2014, consulté le 1er janvier 2014, disponible sur <http://www.theverge.com/2014/1/1/5263156/alleged-snapchat-hackers-explain-how-and-why-they-leaked-data-on-accounts>