Tech by VICE

Des employés de Snapchat ont espionné les utilisateurs

Plusieurs sources et mails décrivent SnapLion, un outil interne utilisé par divers services pour accéder aux données des utilisateurs de l’application.

par Joseph Cox; traduit par Sandra Proutry-Skrzypek
28 Mai 2019, 7:30am

Image : Hunter French

Plusieurs départements au sein du géant des réseaux sociaux Snapchat disposent d'outils pour accéder aux données des utilisateurs et de nombreux employés auraient déjà abusé de ce privilège pour les espionner.

Deux anciens employés de Snapchat ont déclaré que plusieurs de leurs anciens collègues avaient abusé de leur accès aux données des utilisateurs de l’application il y a plusieurs années. Ces sources, ainsi que deux autres anciens employés, un employé actuel et des mails ont décrit des outils internes qui permettaient à l’époque aux employés de Snap d'accéder aux données des utilisateurs, y compris, dans certains cas, des renseignements sur leur emplacement, leurs photos enregistrées et des renseignements personnels comme le numéro de téléphone et l’adresse électronique. Les instantanés sont des photos et des vidéos qui, si elles ne sont pas enregistrées, disparaissent généralement après avoir été reçues (ou après 24 heures si elles sont postées dans la story d'un utilisateur).

Dans le cadre de cet article, nous avons tenu à préserver l'anonymat des sources afin qu’elles puissent s’exprimer librement au sujet des processus internes de Snap.

Bien que Snap ait mis en place des contrôles stricts sur l’accès aux données des utilisateurs et prenne très au sérieux les cas de violation de la vie privée, selon plusieurs sources, cette nouvelle met en évidence un fait que de nombreux utilisateurs ont tendance à oublier : derrière les produits que nous utilisons quotidiennement se cachent des personnes ayant accès à des données clients très sensibles. Elles en ont besoin pour effectuer leur travail, mais en l'absence de protections adéquates, ces mêmes personnes peuvent abuser de leur accès pour obtenir des renseignements personnels ou espionner des profils.

« Des outils comme SnapLion sont une norme dans l'industrie technologique, car les entreprises ont besoin d'accéder aux données des utilisateurs pour une variété de fins qui sont à leurs yeux légitimes »

Selon diverses sources et mails, l'un de ces outils internes s'appelle SnapLion. À l'origine, il servait à recueillir des renseignements sur les utilisateurs en réponse à des demandes valides des autorités, comme une ordonnance de tribunal ou une assignation à comparaître, rapportent deux anciens employés. L'équipe « Spam and Abus » de Snap y a accès, selon l'un des anciens employés. Un employé actuel a déclaré que l'outil était utilisé pour lutter contre l'intimidation et le harcèlement sur la plateforme. Un mail Snap interne, que nous avons pu lire, indique qu'un service appelé « Customer Ops » a également accès à SnapLion, de même que le personnel de sécurité. L'existence de cet outil n'avait jamais été signalée auparavant. SnapLion fournit « les clés du royaume », déclare un ancien employé.

Beaucoup des 186 millions d'utilisateurs de Snapchat apprécient l'application en raison du caractère éphémère des vidéos et des photos que les utilisateurs s'envoient entre eux. Mais ils ne sont pas forcément au courant du type de données que Snapchat peut stocker. En 2014, la Federal Trade Commission a sanctionné Snapchat pour avoir omis de révéler que l'entreprise avait recueilli, stocké et transmis des données de géolocalisation.

Le guide d’application de la loi de Snap concernant les informations des utilisateurs est accessible au public et fournit des détails sur le type de données disponibles auprès de l'entreprise : le numéro de téléphone lié à un compte ; les données de localisation de l'utilisateur (par exemple lorsque l'utilisateur active ce paramètre sur son téléphone et autorise les services de localisation sur Snapchat) ; les métadonnées de ses messages, qui peuvent indiquer à qui il a parlé et quand ; et dans certains cas, le contenu limité de Snap, comme les « Mémoires » de l'utilisateur, qui sont des versions sauvegardées de ses Snaps éphémères, ainsi que d'autres photos ou vidéos que l'utilisateur enregistre.

Un mail interne que nous avons obtenu montre un employé Snap utilisant SnapLion légitimement pour rechercher une adresse mail liée à un compte dans un contexte qui n’implique pas les autorités, et un deuxième mail montre comment l'outil peut être utilisé dans les enquêtes sur les abus envers les enfants.

Des outils comme SnapLion sont une norme dans l'industrie technologique, car les entreprises ont besoin d'accéder aux données des utilisateurs pour une variété de fins qui sont à leurs yeux légitimes. Bien que Snap ait indiqué qu'il dispose de plusieurs outils pour traiter les plaintes des clients, se conformer à la loi et faire respecter les conditions et politiques du réseau, des employés ont tout de même utilisé l'accès aux données pour espionner les utilisateurs.

Selon un ancien employé, des abus de ce type ont eu lieu « à quelques reprises » chez Snap. Cette source et un autre ancien employé précisent que ces abus ont été commis par plusieurs personnes. Un mail de Snapchat montre également que les employés discutent beaucoup de la question des menaces et de l'accès aux données, et de la façon dont elle devrait être traitée.

Nous n’avons pas été en mesure de vérifier exactement comment ces abus se sont produits, ni quel système ou processus spécifique les employés ont utilisé pour accéder aux données utilisateur de Snapchat.

Un porte-parole de Snap a réagi à ces révélations par mail : « La protection de la vie privée est primordiale chez Snap. Nous conservons très peu de données sur les utilisateurs et nous avons des politiques et des contrôles solides pour limiter l'accès interne aux données dont nous disposons. Tout accès non autorisé de quelque nature que ce soit constitue une violation manifeste des normes de conduite de l'entreprise et, s'il est avéré, entraîne un renvoi immédiat. »

Interrogé sur ces abus, un ancien responsable de la sécurité de l'information de Snap a répondu : « Je ne peux pas en parler, mais nous avions de bons systèmes dès le début, probablement plus tôt que n’importe quelle startup existante. » À noter qu’il n’a pas nié les allégations et a cessé de répondre aux demandes de commentaires.

Selon l'un des anciens employés, il y a quelques années, SnapLion ne disposait pas d'un niveau satisfaisant de journalisation pour suivre les données auxquelles les employés accédaient. Depuis, l'entreprise a mis en place une surveillance accrue et contrôle l'accès aux données des utilisateurs.

Snap a déclaré qu'il limite l'accès interne aux outils à ceux qui en ont besoin, mais que SnapLion n'est plus un outil purement destiné à aider les forces de l'ordre. Aujourd’hui, il est plus largement utilisé dans l'ensemble de l'entreprise. Un ancien employé qui a travaillé avec SnapLion a déclaré que l'outil est utilisé pour réinitialiser les mots de passe des comptes piratés et autre « administration des utilisateurs ».

Un employé actuel a souligné les progrès de l'entreprise en matière de protection de la vie privée des utilisateurs, et deux anciens employés ont insisté sur les contrôles mis en place par Snap pour protéger la vie privée des utilisateurs. Snap a introduit le chiffrement de bout en bout en janvier de cette année.

Les cas d’employés qui profitent de l'accès aux données à des fins douteuses touchent l'ensemble de l'industrie technologie. L'an dernier, Facebook a congédié plusieurs employés pour avoir utilisé leur accès privilégié aux données des utilisateurs pour traquer des ex. Uber a présenté lors de plusieurs événements son mode « God View », qui montre en temps réel la localisation des utilisateurs et des chauffeurs, et des employés d'Uber ont utilisé des systèmes internes pour espionner d'anciens partenaires, des politiciens et des célébrités.

« Les utilisateurs doivent comprendre que tout ce qui n'est pas crypté est, à un moment donné, à la disposition des humains », a déclaré Alex Stamos, ancien responsable de la sécurité informatique sur Facebook et désormais professeur à Stanford. « Ce n'est pas exceptionnellement rare », a-t-il ajouté en faisant référence aux abus de données internes.

Leonie Tanczer, professeure de sécurité internationale et technologies émergentes à l'University College de Londres, a déclaré dans un chat en ligne que cet épisode « met vraiment en lumière l'idée que les gens ne peuvent pas percevoir les entreprises comme des entités monolithiques, mais comme un ensemble de personnes avec leurs propres échecs et préjugés. Par conséquent, il est important que cet accès aux données soit rigoureusement contrôlé à l'interne et qu'il y ait une surveillance, des freins et contrepoids appropriés. »

VICE France est aussi sur Twitter, Instagram, Facebook et sur Flipboard.