Le scandale de la fuite de données de Facebook, exploitées par Cambridge Analytica, résonne encore. 270 000 personnes avaient téléchargé l’application ThisIsYourDigitalLife en pensant participer à une étude universitaire. Mais l’application collectait aussi les données des amis Facebook de ces utilisateurs, sans que ces derniers ne soient au courant. Au final, plus de 50 millions de profils sont ainsi récupérés illégalement par Cambridge Analytica entre 2014 et 2015 ! On aurait pu croire naïvement qu’il s’agirait d’un cas isolé, mais il n’en est rien. À travers plusieurs extension pour Chrome et Firefox, la société Nacho Analytics a récupéré les données personnelles et professionnelles de près plus de 4 millions d’internautes.

Dans un long papier publié dans le Washington Post, le journaliste Geoffrey Fowler détaille son enquête pour savoir où partaient les données de dizaines d’extensions. Un autre article complémentaire publié dans Ars Technica par Dan Goodin livre d’autres détails. Le tout se base sur un rapport baptisé DataSpii, publié par un chercheur. Le moins que l’on puisse dire, c’est que ce qui est mis en lumière fait froid dans le dos.

Tout commence lorsque Sam Jadali chercheur en cybersécurité et directeur d’une entreprise d’hébergement web, découvre que les données de certains de ses clients sont vendues sur Internet. Plus précisément, elles sont vendues par une société qui propose des services d’intelligence marketing : Nacho Analytics. Pour l’entreprise les données proviennent d’internautes qui ont accepté d’être pistés. Elle récolte ainsi toutes les données de navigation d’une personne.

Concrètement, les informations récupérées à partir d’extensions de navigateur sont ensuite placées dans une interface de Google Analytics pour que l’utilisateur puisse étudier le fonctionnement du site de ses concurrents. Dans une vidéo publiée le 28 janvier sur sa chaîne YouTube, Nacho Analytics explique que « personne ne peut savoir que vous regardez leurs statistiques ». Cependant, la provenance des données n’est jamais évoquée.

Cette pratique, Sam Jadali l’a baptisée DataSpii, à prononcer data-spy. Le « PII » valant pour personally identifiable information. Car en creusant dans les informations qu’il est possible de récupérer dans le logiciel de Nacho Analytics, Sam Jadali découvre des noms d’utilisateur, des mots de passe, et même des coordonnées GPS. Pire, en parallèle de ces PII, il met en exergue des CI (Corporate Information) qui révèlent des projets de développement dans des sociétés comme Blue Origin, Reddit, TMobile, BuzzFeed, Tesla ou CardinalHealth.

Le nom des pages visitées ou les URL révèlent leurs lot d’informations sensibles. Par exemple, pour les projets des entreprises citées plus hauts, ils sont administrés sur un logiciel baptisé JIRA, propriété du géant Atlassian.

Liste des tickets de Tesla sur Jira

Liste des tickets de Tesla sur Jira. Source : DataSpii Report.

Certains contenus consultés depuis iCloud sont également répertoriés. Comme on peut le voir dans l’URL, ce sont des photos, ce qui laisse penser que si auparavant un utilisateur a découvert l’adresse email et le mot de passe du compte, il peut accéder à la bibliothèque de photos de l’internaute.

URL des photos stockées sur iCloud

URL des photos stockées sur iCloud. Source : DataSpii Report.

Plusieurs extensions ont été mises en lumière par le chercheur, et aucune n’est spécifiquement taillée pour la seule tâche de collecter les données de navigation. Cela n’a pas été simple, car il a d’abord dû identifier celles qu’il jugeait suspectes, puis se balader sur internet, et ensuite vérifier dans Nacho Analytics si les pages visitées étaient bien là. Voici donc les extensions incriminées :
– Fairshare Unlock : une extension Chrome et Firefox qui permet d’accéder gratuitement à des contenus premiums ;
– SpeakIt! : un outil de synthétiseur vocal sur Chrome ;
– Hover Zoom : pour agrandir les images sur Chrome ;
– PanelMeasurement : pour trouver des études de marché ;
– Super Zoom : similaire à Hover Zoom, mais pour Firefox et Chrome ;
– SaveFrom.net Helper : promet de simplifier les téléchargements ;
– Branded Surveys : pour être rémunéré contre la participation à des enquêtes ;
– Panel Community Surveys : même conditionnement que Branded Surveys.

Globalement, on comprend vite que ces extensions sont similaires à ces applications de lampe torche sur Android qui demandaient un accès à votre géolocalisation. D’ailleurs, elles n’existent plus, car Sam Jadali a alerté Google et Mozilla de leur comportement et leur finalité. Au début du mois de juin, Google a même annoncé renforcer la sécurité des extensions pour Chrome, notamment sur les données accessibles.

Les créateurs des extensions, de même que Nacho Analytics ont insisté sur le fait que chaque utilisateur laissant ses données a forcément donné son aval. Dans les faits, il n’est pas explicitement détaillé ce qu’il se passe, ce qui peut induire en erreur une personne qui installe un service sur son navigateur. D’autre part, Nacho Analytics a précisé que liens sont anonymisés et les données sensibles sont supprimées avant d’être publiées. Clairement, lorsqu’on regarde certaines captures d’écran, ce n’est pas du tout le cas.

Le nom des patients a été flouté, mais il est en accès libre sur Nacho Analytics

Le nom des patients a été flouté, mais il est en accès libre sur Nacho Analytics. Source : DataSpii Report.

Très dépendante des données en provenance des extensions désactivées, Nacho Analytics a publié un message sur Twitter annonçant ne plus accepter de nouveaux clients : « Notre partenaire de données a mis fin à ses activités. Nous nous excusons pour les désagréments occasionnés par l’arrêt de nouvelles ventes. »

Contacté par Ars, le CEO de l’entreprise, Mike Robert, a précisé cela : « Votre rapport me dérange personnellement – et [la publication de données sensibles] n’est certainement pas l’objectif de Nacho Analytics. Nous nous efforçons de supprimer les informations personnelles identifiables des URL et des titres de pages, et d’exclure les sites présentant de sérieux problèmes de sécurité. Lorsque nous apprenons l’existence d’un nouveau problème, nous avons un système qui nous permet de le supprimer immédiatement. Nous avons arrêté toutes les nouvelles inscriptions pour Nacho jusqu’à ce que nous puissions obtenir plus d’informations sur cette problématique. Si vous me donnez une liste des sites qui ont ces problèmes, nous allons immédiatement désactiver ces sites et trouver une solution permanente. »

Un peu comme Facebook qui a fermé les vannes de l’accès aux données un peu trop tard, il est fort probable qu’une enquête soit menée. Pour l’instant, il y a un flou sur la responsabilité de chacun (créateurs extensions et Nacho Analytics) et le fait que la publication de ces informations soit en accord avec la loi, ou non.

Quoi qu’il en soit, DataSpii fait à nouveau office de rappel sur ce que l’on peut faire de nos données, et des abus qui peuvent en résulter.