PayPal semble récolter un très grand nombre d’informations sur ses utilisateurs et nous sommes en droit de nous demander pour quelles raisons ?

On ne va pas vous le cacher, cette semaine nous avons relayé beaucoup d’informations concernant la collecte de données personnelles par certaines entreprises de la Tech. On pense notamment aux accusations qui ont visé Wiko et OnePlus.

Or, derrière ces deux « affaires », c’est toujours la même personne qui a jeté la première pierre : un développeur spécialisé en sécurité informatique qui se cache derrière le pseudonyme « Elliot Alderson ». Et ce dernier est encore à l’origine d’une nouvelle découverte sur ce sujet de collecte de données qui lui est très cher. Cette fois-ci, c’est à PayPal qu’il s’attaque.

Elliot Alderson a fouillé dans le code de l’application Android du célèbre service de paiement en ligne et ce qu’il y a trouvé ne lui a pas plu du tout.

Tout d’abord, il s’est rendu compte d’une incongruité au sein des outils antifraude. Tout le SDK de PayPal est parfaitement open source — et il est donc facile de fouiller dedans — sauf toute la partie concernant les métadonnées collectées par l’application qui reste obfusquée (impénétrable) et non disponible sur GitHub, contrairement au reste du code. C’est comme si PayPal voulait masquer cette information.

La mesure est toutefois assez vaine puisqu’en poussant la recherche un peu plus loin, Elliot Alderson a pu avoir un aperçu de toutes les données récoltées.

Dans les captures d’écran ci-dessus, on peut voir que le SDK de PayPal est pensé pour récolter un très grand nombre d’informations dont, entre autres, celles qui suivent :

  • la géolocalisation ;
  • l’adresse IP ;
  • le SSID du réseau Wi-FI ;
  • les données de l’antenne relais ;
  • le temps depuis lequel l’appareil est allumé ;
  • l’opérateur téléphonique ;
  • les informations sur le roaming ;
  • l’espace de stockage ;
  • etc.

Pourquoi récolter ces données ?

Ne crions pas tout de suite à l’espionnage. Mais comme le souligne le développeur, on est en droit de se demander pour quelles raisons PayPal a besoin de toutes ces informations et pourquoi le service a-t-il manqué de transparence.

Un autre développeur répond d’ailleurs à Elliot Alderson en affirmant que ce SDK ne sert même pas vraiment à mettre en place des outils antifraude.

Nous avons contacté PayPal afin de connaître sa position officielle face à cette problématique. Voici sa réponse :

Nos clients nous font confiance pour leur argent et leurs informations personnelles, et nous prenons cette responsabilité très au sérieux, en accord avec les lois locales sur la vie privée. PayPal collecte et utilise des informations personnelles afin de vérifier les paiements, gérer les risques, aider à protéger nos clients contre la fraude ainsi que communiquer avec eux en fonction de leurs préférences, comme énoncé dans notre règlement sur la vie privée.

PayPal semble botter en touche avec cette déclaration et ne répond pas vraiment aux inquiétudes soulevées par Elliot Alderson.