Une investigation de Vice dévoile que Zoom pour iOS envoie des données à Facebook
Jeudi dernier (26 mars), Vice révélait que Zoom envoie des données à Facebook lorsque vous utilisez son application sur iOS. En particulier, Zoom informe Facebook de quand vous ouvrez l'application, quand vous la fermez, et envoie des informations telles que l'identifiant annonceur, votre adresse IP, votre ville ou votre modèle de Smartphone. Et ceci même si vous n'avez pas de compte Facebook. Autre problème noté par Vice : Zoom n'informe pas l'utilisateur du tracking Facebook dans sa politique de confidentialité. En fait, Zoom signale bien le tracking Facebook dans "Collection of your Personal Data", mais seulement pour indiquer qu'ils récupèrent vos informations de profil Facebook si vous décidez de créer votre compte Zoom avec Facebook :
Facebook profile information (when you use Facebook to log-in to our Products or to create an account for our Products)
En revanche, nulle mention d'un tracking Facebook lorsque vous n'utilisez pas le login Facebook pour accéder à Zoom.
Le timing de l'enquête de Vice est excellent, Zoom profite du boom du télétravail en pleine période de confinement dû au coronavirus, avec une multiplication par 12 des téléchargements et une valorisation boursière qui flambe.
Curieux de constater cette fuite de données par moi même, j'ai suivi ces étapes sur mon iPhone :
- Fermeture des différentes applications ouvertes
- Lancement de Charles Proxy, et activation du suivi
- Lancement de Zoom
- Export des logs vers mon ordinateur pour analyse
Zoom utilise bien Facebook, et envoie effectivement les informations signalées par Vice. À noter que Facebook est le seul tiers à recevoir des informations de Zoom. Vice ne signale de problème que sur iOS, mais utilisant Zoom sur mon ordinateur (comme j'imagine la plupart des utilisateurs professionnels de Zoom), j'ai voulu tester le tracking sur Mac. J'ai donc suivi la même procédure qu'avec iOS, utilisant cette fois-ci la version Mac de Charles Proxy :
L'application Zoom sur Mac n'envoie aucune information à des tiers, et donc rien à Facebook.
La réaction de Zoom le lendemain de l'article de Vice
Zoom n'aura pas attendu longtemps pour s'excuser par la voix de son PDG de ce tracking, et pour supprimer le SDK Facebook responsable de la fuite de données. Il est intéressant d'avoir les explications de ce tracking : l'implémentation du SDK Facebook était destinée à permettre aux utilisateurs de créer leur compte Zoom et de se logguer ensuite via Facebook.
Cette fonctionnalité, bien que invasive, est appréciée de certains utilisateurs car elle leur permet de créer un compte plus simplement. Mais implémentée directement dans le code de l'application (le "SDK Facebook" pour iOS), elle permet à Facebook une récupération systématique de vos données :
- Facebook récupère vos données même si vous décidez de créer votre compte Zoom vous loguer sans Facebook (via votre email par exemple)
- Facebook récupère aussi vos données si vous n'avez pas de compte Facebook (données associées à un identifiant)
Également intéressant, le fait que Zoom n'ait pas supprimé la création de compte via Facebook, mais l'ait déporté sur le navigateur. Ainsi l'utilisateur souhaitant créer son compte Zoom via Facebook pourra toujours le faire, mais le tracking Facebook est bien supprimé pour les autres utilisateurs. Eric S. Yuan indique revoir les processus d'implémentation de ces features afin de ne pas répéter l'erreur.
Soucieux de vérifier la suppression effective du tracking Facebook, j'ai mis à jour l'application sur mon iPhone (notez comment Zoom communique sur la mise à jour, "Improvements to Facebook Login").
Et en effet, le tracking Facebook a disparu :
Le pouvoir des enquêtes sur le tracking
Le tracking est malheureusement généralisé sur les applications, Zoom n'étant pas le pire ici. En effet, beaucoup d'applications utilisent les SDK de Google, de Facebook, ou de d'autres sociétés marketing dont vous n'avez jamais entendu parler, et souvent pour fuiter des données personnelles bien plus sensibles (comme votre nom, votre adresse email ou votre géolocalisation). À l'origine de ce scandale ?
- La permissivité d'Apple et de Google sur leurs App Store respectifs, permettant à n'importe quel développeur d'applications d'utiliser autant de SDK de sociétés tierces, et permettant à ces SDKs tiers d'accéder à vos données personnelles.
- Le manque de transparence et de contrôle, les développeurs d'applications ne fournissant que très rarement l'information nécessaire et le contrôle sur la transmission de vos données personnelles à des tiers. Ici la RGPD devrait régler le problème, mais elle est encore loin d'être appliquée.
Il est néanmoins encourageant de voir qu'une simple investigation de Vice a permis de régler le problème de tracking sur Zoom.