Houseparty, star du confinement et de la surveillance

En tête des téléchargements, une catastrophe pour votre vie privée

Publié par Pixel de Tracking le 29 mars 2020

La dernière appli de vidéoconférence à la mode

Houseparty, l'appli de chat vidéo racheté par Epic Games l'année dernière (le studio derrière Fortnite), connaît en ce moment un succès fulgurant. Profitant d'une interface fluide et fun, proposée sur smartphone mais aussi sur ordinateur, elle dispute actuellement la tête des téléchargements iOS en France et dans la plupart des pays confinés à Zoom, d'après AppAnnie.

Classement iOS Houseparty

Zoom et Houseparty ont une cible initiale très différente, respectivement les entreprises et les adolescents, mais tous deux profitent du confinement pour voir leur usage exploser. Et en effet, cette application m'a été suggérée par des amis pas plus tard que cette semaine pour un "Skype Apéro". Après l'analyse de Zoom, regardons si Houseparty fuite vos données personnelles.

Test de Houseparty sur iPhone

Pour comprendre si l'application Houseparty fait directement fuiter vos données personnelles vers des sociétés tierces, il vous faut intercepter les requêtes envoyés depuis vers Smartphone par Houseparty, avant qu'elles soient envoyés sur le réseau internet. Pour cela, j'utilise l'application Charles Proxy, et je suis les étapes suivantes :

  • Fermeture des applications sur mon iPhone
  • Ouverture de Charles Proxy et activation du suivi
  • Lancement de Houseparty
  • Export des logs Charles Proxy vers mon ordinateur

Et là, à la différence de l'appli Zoom, comparativement assez "propre", c'est la foire aux traqueurs :

Houseparty iPhone

Quelles sont ces sociétés tierces qui récupèrent ainsi vos données personnelles ?

  • Crashlytics : application utilisé pour monitorer les crashs, cette société a connu un destin particulier : racheté par Twitter en 2013, qui l'a ensuite revendu à Google en 2019.
  • Facebook : comme Zoom avant les révélations de Vice, Houseparty utilise donc les services de l'omniprésent Facebook. Il est difficile de comprendre le besoin de Houseparty car l'installation de la librarie Facebook pour iOS propose beaucoup de fonctionnalités : Analytics (un équivalent de Google Analytics, mais donnant des informations agrégées sur les utilisateurs Facebook aux développeurs d'applis), code pour la publicité (pour vous recibler sur d'autres applications), module de Login, partage de contenu, accès au graph social Facebook, etc.
  • Branch.io : cette société fournit entre autres un outil d'attribution, ce qui permet à Houseparty de savoir quelles campagnes publicitaires permettent de recruter des utilisateurs actifs. Comment ? D'après leur site web : "Branch's People-Based Attribution uses deterministic web cookie + device ID pairs to match touchpoints from every channel with conversions on any platform. We empower you to eliminate the ambiguity of fingerprint-based attribution and unify fragmented data to show you each customer's full journey". En bref : une société marketing de plus dont vous n'avez jamais entendu et qui vous flique.
  • Doubleclick : la solution publicitaire de Google, ici à destination des applications. Permet à Houseparty de monétiser votre usage de l'application via de la publicité, et à Google de récolter des informations supplémentaires sur vous.
  • Taplytics : solution d'Analytics et de customisation, permet à Houseparty de personnaliser ses messages selon les utilisateurs.
  • Appsflyer : un autre outil d'attribution et d'analytics.
  • Segment : un Tag Manager pour applications, dont nous allons parler ci-dessous vu le nombre considérable d'informations personnelles fuitées vers ce tiers.

Segment, le Hub de vos données personnelles

Segment Le moto de Segment : "The best companies are built on unified customer data".

Mais le tiers vers lequel Houseparty fuite le plus d'informations personnelles est Segment : équivalent d'un "Tag Manager" sur environnement applicatif, cet outil est un Hub qui permet de collecter vos données d'usage de l'appli Houseparty ainsi que vos données personnelles, et de les redistribuer ensuite vers des tiers. Et on peut dire que Houseparty est généreux lorsqu'il s'agit de transmettre vos données personnelles, Segment récupère ainsi entre autres :

  • Votre nom en clair
  • Votre adresse email en clair
  • Votre pseudo Houseparty
  • Votre identifiant annonceur
  • Votre modèle de Smartphone
  • Si vous avez installé certaines applications (Facebook, Instagram, WhatsApp, Snapchat)
  • Si vous êtes connecté en WiFi en via le réseau cellulaire
  • Votre opérateur téléphonique
  • Si vous avez autorisé l'accès à certaines fonctionnalités de votre Smartphone (micro, caméra, carnet d'adresses, géolocalisation)
  • Si la batterie de votre Smartphone est en train de charger ou non

Ce qu'il faut comprendre ici est que Segment ne collecte que ce que Houseparty lui dit de collecter, Houseparty a donc consciemment choisi de fuiter toutes ces données. Le pire ? Impossible de savoir à qui Segment transmet ensuite ces données personnelles (Segment étant un intermédiaire vers d'autres outils marketing), mais vous pouvez constater que la liste des destinations supportées par Segment est grande.

Test de Houseparty sur Mac

Houseparty propose également une application pour Mac, voyons si elle aussi fuite vos données personnelles. En suivant la même procédure, avec cette fois-ci la version de Charles Proxy pour Mac :

HouseParty Mac

Si le tracking est un peu allégé (pas de Facebook par exemple), on retrouve encore Crashlytics (Google), Branch.io et surtout Segment. En regardant dans le détail les données personnelles fuitées vers Segment, on retrouve encore :

  • Votre nom en clair
  • Votre email en clair
  • Votre pseudo Houseparty
  • Un identifiant utilisateur
  • Si vous avez autorisé l'accès à certaines fonctionnalités de votre Mac (caméra, notifications)
  • Un identifiant pour votre Mac
  • Le nom de votre Mac, ainsi que son modèle
  • La version de MacOS
  • Si votre bluetooth est activé
  • Si votre wifi est activé

Une politique de confidentialité offrant un blanc-seing à Houseparty

Comme Houseparty n'informe pas l'utilisateur des traqueurs utilisés dans ses applis, il nous faut plonger dans la lecture de la politique de confidentialité de Houseparty. On comprend rapidement que tout est permis avec vos données personnelles, Houseparty s'autorisant tous les traitements, tout en n'étant responsable de rien. En particulier, concernant les sociétés de marketing tierces, utilisés par Houseparty :

These other domains, websites and services are not controlled by us, and we do not endorse or make any representations about Third-Party websites or social media platforms. We encourage our Users to read the privacy policies of each and every website and application with which they interact. We do not endorse, screen or approve, and are not responsible for the privacy practices or content of such other websites or applications. Visiting or connecting to these other websites, services or applications is at your own risk.

Qu'en est-il du consentement ? Sur les Apps, on est loin du web où les sites font un effort pour proposer des bannières de consentement, même si celles-ci sont malhonnêtes et ne fonctionnent pas correctement. Houseparty en est conscient, et le message aux utilisateurs est clair : démerdez-vous !

If you would like to opt-out of the Technologies we employ on our sites, services, applications, or tools, you may do so by blocking, deleting, or disabling them as your browser or device permits.

Information et consentement sont au coeur de la RGPD, mais on voit que celle-ci est complètement bafouée par une des applications les plus populaires au monde. Sans sanction lourde des régulateurs européens ou changements des règles du jeu du côté des principaux App Stores (chez Apple et Google), il est peu probable que vos données personnelles soient mieux protégées.