Sarahah est une application en vogue depuis cet été. Celle-ci permet d’envoyer des messages « sincères » à ses contacts. Or, un analyste a découvert que le service se permettait de copier des données privées sur des serveurs distants.

En arabe, le mot « Sarahah » signifie honnêteté. Et c’est tout le concept de l’application saoudienne qui porte le même nom. Celle-ci est très populaire cet été et on estime à 18 millions le nombre de téléchargements sur le Play Store et l’App Store.

La plateforme propose d’envoyer des messages honnêtes à ses amis ou à son employeur sous couvert d’anonymat. L’intérêt mis en avant par Sarahah est d’en savoir plus sur ce que notre entourage pense de nous. L’idée est que, ne pouvant pas être identifiés, les utilisateurs s’expriment plus librement. Le concept de l’application a déjà suscité quelques inquiétudes à cause des nombreux trolls qui peuvent s’y cacher.

Espionnage

Mais le souci qui nous intéresse aujourd’hui est d’une autre nature : Sarahah espionne ses utilisateurs. C’est ce qu’a découvert Zachary Julian, un spécialiste de la sécurité informatique chez Bishop Fox. Ce dernier a téléchargé l’application sur son Samsung Galaxy S5 tournant sous Android 5.1.1 Lollipop. Grâce à un logiciel de surveillance qui analyse le trafic des données émises et reçues par l’appareil, il s’est rendu compte que le service envoyait des données privées sur des serveurs distants.

« Dès que vous vous inscrivez sur l’application, elle transmet tous les emails et numéros de téléphone de vos contacts enregistrés sur l’OS Android », explique l’analyste à The Intercept. Il précise par ailleurs que la même intrusion a lieu sur iOS, même si, dans ce cas, un message demande l’autorisation d’accéder aux contacts. Zachary Julian a même posté une vidéo illustrant le problème.

Le créateur de Sarahah, Zain al-Abidin Tawfiq, s’est fendu d’un tweet dans lequel il explique que cela est dû au fait qu’il voulait tester une option « Trouvez vos amis », d’où la copie du répertoire de l’utilisateur. Il ajoute que cette fonctionnalité n’a jamais vu le jour en raison de quelques soucis techniques. Enfin, il promet que le problème sera réglé dans une future mise à jour et que son application ne sauvegarde aucun contact dans ses bases de données.

Reste à savoir si l’explication de Zain al-Abidin Tawfiq est de bonne foi. Quoi qu’il en soit, ce genre d’incidents prouve à quel point la transparence est un enjeu important, d’autant plus lorsqu’il s’agit d’un service populaire auprès des plus jeunes. Cela n’est pas sans rappeler la controverse autour de Meitu, une application qui a connu une certaine popularité pendant quelques jours avant d’être évincée pour espionnage.

À lire sur Numerama : Il faut qu’on parle de Sarahah, le réseau social saoudien qui cartonne chez les ados