PayPal semble récolter un très grand nombre d’informations sur ses utilisateurs et nous sommes en droit de nous demander pour quelles raisons ?
On ne va pas vous le cacher, cette semaine nous avons relayé beaucoup d’informations concernant la collecte de données personnelles par certaines entreprises de la Tech. On pense notamment aux accusations qui ont visé Wiko et OnePlus.
Or, derrière ces deux « affaires », c’est toujours la même personne qui a jeté la première pierre : un développeur spécialisé en sécurité informatique qui se cache derrière le pseudonyme « Elliot Alderson ». Et ce dernier est encore à l’origine d’une nouvelle découverte sur ce sujet de collecte de données qui lui est très cher. Cette fois-ci, c’est à PayPal qu’il s’attaque.
Elliot Alderson a fouillé dans le code de l’application Android du célèbre service de paiement en ligne et ce qu’il y a trouvé ne lui a pas plu du tout.
Hi @PayPal 👋! Can I ask you something?
I look at your Fraud tools for PayPal integrations on Android aka "Data Collector". Why the released aar files and jar files doesn't contains the same code 🤔?https://t.co/bZkfuY4Pgu pic.twitter.com/8sShmjEzZc— Elliot Alderson (@fs0c131y) November 23, 2017
Tout d’abord, il s’est rendu compte d’une incongruité au sein des outils antifraude. Tout le SDK de PayPal est parfaitement open source — et il est donc facile de fouiller dedans — sauf toute la partie concernant les métadonnées collectées par l’application qui reste obfusquée (impénétrable) et non disponible sur GitHub, contrairement au reste du code. C’est comme si PayPal voulait masquer cette information.
La mesure est toutefois assez vaine puisqu’en poussant la recherche un peu plus loin, Elliot Alderson a pu avoir un aperçu de toutes les données récoltées.
Dans les captures d’écran ci-dessus, on peut voir que le SDK de PayPal est pensé pour récolter un très grand nombre d’informations dont, entre autres, celles qui suivent :
- la géolocalisation ;
- l’adresse IP ;
- le SSID du réseau Wi-FI ;
- les données de l’antenne relais ;
- le temps depuis lequel l’appareil est allumé ;
- l’opérateur téléphonique ;
- les informations sur le roaming ;
- l’espace de stockage ;
- etc.
Pourquoi récolter ces données ?
Ne crions pas tout de suite à l’espionnage. Mais comme le souligne le développeur, on est en droit de se demander pour quelles raisons PayPal a besoin de toutes ces informations et pourquoi le service a-t-il manqué de transparence.
Un autre développeur répond d’ailleurs à Elliot Alderson en affirmant que ce SDK ne sert même pas vraiment à mettre en place des outils antifraude.
there is like 0 competent fraud protecting in that sdk btw. We had to implement our own methods of fraud protection, including just not taking credit cards on sprint devices (source of most of our fraud)
— Jon Sawyer (@jcase) November 23, 2017
Nous avons contacté PayPal afin de connaître sa position officielle face à cette problématique. Voici sa réponse :
Nos clients nous font confiance pour leur argent et leurs informations personnelles, et nous prenons cette responsabilité très au sérieux, en accord avec les lois locales sur la vie privée. PayPal collecte et utilise des informations personnelles afin de vérifier les paiements, gérer les risques, aider à protéger nos clients contre la fraude ainsi que communiquer avec eux en fonction de leurs préférences, comme énoncé dans notre règlement sur la vie privée.
PayPal semble botter en touche avec cette déclaration et ne répond pas vraiment aux inquiétudes soulevées par Elliot Alderson.
Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.
[…] En outre, il s’est également attaqué à Wiko qui se montrait un peu trop indiscret vis-à-vis de certaines informations sensibles sur ses consommateurs — la marque marseillaise a annoncé une grosse mise à jour de ses appareils pour y remédier —, et il a aussi découvert qu’un modèle en particulier, le Wiko Freddy, se trouvait être particulièrement vulnérable en termes de sécurité. Enfin, le service de paiement en ligne PayPal en a également pris pour son grade. […]
[…] PayPal accusé de collecter plus de données personnelles que … Frandroid […]
+ OUT OF RANGE ERROR ;-)
+484
Bah, c'est à la portée de n'importe qui. Il te faut juste les outils nécessaires et <a href="https://forum.xda-developers.com/android/software-hacking/tool-apk-easy-tool-v1-02-windows-gui-t3333960">APK Easy tool</a> fait bien le job.
Avoir un iPhone et un compte Facebook Twitter Instagram et cie
Sauf que avec le RGPD il va falloir qu'ils se justifient un peu plus que ça car la collecte de données doit être strictement limitée au besoin du Traitement et le Responsable de Traitement doit pouvoir justifier de la nécessité de chaque donnée auprès de la personne (le client PayPal) ou des autorités de contrôle.
Pas besoin de nettoyer après visite, tu ouvres ta session bancaire avec le navigateur en mode privé et voilà quand tu quittes le navigateur il n'y a plus de trace.
+1, je rajouterai, être sur Android et craindre pour les données personnelles, euh... hum :s
ils font tous ça. et black friday donc vos données sont monnayées a mort vive les consommateurs moutons?
T'as l'air de t'y connaître
Franchement, pour un système anti-fraude, ça ne me choque pas : disons que sur les infos collectées qui sont montrées dans l'article, il y a plein de choses anodines mais qui, cumulées, peuvent laisser entendre qu'il y a un potentiel risque d'utilisation malveillante... et on parle bien ici d'un système anti-fraude. Donc pourquoi pas !? Par exemple, les coordonnées GPS de quelqu'un qui est généralement en Allemagne, qui passe une commande depuis l'Allemagne et qui passe une commande depuis l'Argentine 10 minutes plus tard, là, je pense qu'il y a fraude. Maintenant, quand je vois que même l'appli de mon cinéma de quartier veut mes coordonnées GPS pour commander un billet, il n'y a plus grand chose qui me choque... et effectivement, libre à chacun d'installer ou non toutes ces applications. Et si on ne veut pas d'intrusion dans notre vie privée, il doit rester quelques Nokia 3310 sur le marché !?
Cela ne m'étonnerait pas de Paypal qu'ils fassent des choses louches ...
Pour cela il suffit de decompiler les applications pour vérifier mais la liste des suspects peut être sacrément longue...
Heureusement que j'utilise pas leur appli. Par contre, ne vous attendez pas une seule réponse de la part de PayPal. Ces genres d'entreprises ne côtoient pas les journalistes fouineurs au risque de compromettre leur fiabilité (dans leur cas, c'est foutue).
Bientôt top 10 des applications et marques qui ne collecte pas vos données. Enfin plutôt top 5, pas sur que l'on en trouve 10...
Pourquoi surcharger son smartphone d'applis souvent inutiles. Il est beaucoup plus intéressant, en ce qui concerne les sites tels que banque, Paypal ou autres, de se connecter directement avec le navigateur. Une fois les transacs faites on se déconnecte puis on passe un coup de nettoyage du navigateur et terminé, non ? C'est clair que de toutes façons la vie privée n'existe plus quand on a un smartphone, une tablette ou un ordi