Apple s'attaque aux applications qui enregistrent les écrans des utilisateurs à leur insu

Et menace de les supprimer de l'App Store

Apple s'attaque aux applications qui enregistrent les écrans des utilisateurs à leur insu
et menace de les supprimer de l'App Store

La relecture d'un enregistrement de session (ou session replay en anglais) est la possibilité de visualiser en différé le comportement d’un utilisateur sur un site Web ou au sein d'une application Web ou mobile. La relecture peut inclure les pages ou écrans vus par l'utilisateur, sa saisie (entrées du clavier et de la souris) et les journaux des événements réseau, entre autres. Elle est censée aider à améliorer l'expérience client et à identifier les obstacles dans les processus de conversion client, c'est-à-dire dans le processus de transformation des visiteurs ou utilisateurs en acheteurs. Mais la relecture de session peut également être utilisée pour étudier la convivialité d'un site ou une application et le comportement du client ; et certaines entreprises utilisent même cette fonctionnalité pour analyser les comportements frauduleux sur des sites Web.

C'est une fonctionnalité qui est de plus en plus utilisée, et parfois sans modération, par les développeurs d'applications et sites Web, comme en témoigne d'ailleurs un récent rapport indiquant que certaines applications iOS enregistrent les sessions des utilisateurs à leur insu.

Le rapport révèle que des applications iOS populaires telles que Abercrombie & Fitch, Hollister, Hotels.com, Expedia, Air Canada et Singapore Airlines utilisent le SDK de la société Glassbox pour l'accès à une technologie de relecture de session qui leur permet d'enregistrer et de reproduire les interactions des utilisateurs. L'outil, intégré aux applications natives à des fins de résolution de problèmes et d'évaluation, permet aussi une surveillance granulaire des interactions des utilisateurs. Il permet par exemple d'enregistrer des saisies à l'écran, des entrées de zone de texte, etc., afin de fournir aux entreprises un compte rendu détaillé des actions de l'utilisateur et des réponses du logiciel.


En plus, aucune de ces applications utilisant la technologie Glassbox n'a informé les utilisateurs de la fonction de surveillance dans leurs politiques de confidentialité respectives, ce qui constitue une violation apparente des directives de l'App Store d'Apple. Après ces révélations, Apple a donc décidé de s'attaquer aux applications d'analyse qui enregistrent les écrans des utilisateurs.

Apple a notifié les contrevenants que leurs applications « utilisent un logiciel d'analyse pour collecter et envoyer les données d'un utilisateur ou d'un appareil à un tiers sans le consentement de l'utilisateur » et a averti qu'elles seront supprimées de l'App Store si le code de surveillance n'est pas supprimé.

« La protection de la confidentialité des utilisateurs est primordiale dans l'écosystème Apple. Nos règles de révision de l'App Store exigent que les applications demandent le consentement explicite de l'utilisateur et fournissent une indication visuelle claire [une petite icône rouge dans le coin supérieur gauche du téléphone, NDLR] lors de l'enregistrement de l'activité de l'utilisateur », a déclaré un porte-parole d'Apple. « Nous avons informé les développeurs que ceux-ci contrevenaient à ces conditions et directives strictes en matière de protection de la vie privée et nous prendrons des mesures immédiates si nécessaire ».

En réponse à ces révélations, Glassbox affirme que ses clients et lui « ne sont pas intéressés par l'espionnage des consommateurs », mais ils ont plutôt pour objectifs « d'améliorer l'expérience client en ligne et de protéger les consommateurs du point de vue de la conformité ». Glassbox ajoute que sa plateforme est sécurisée, chiffrée et conforme aux normes de confidentialité des données. En outre, aucune donnée sur les consommateurs n'est partagée avec des tiers, a déclaré la société.

Si la société estime que sa plateforme est sécurisée, soulignons que des fuites de données peuvent survenir suite à de mauvaises pratiques de traitement des données. Glassbox fournit des outils permettant de masquer les données utilisateur sensibles avant qu'elles soient envoyées à des serveurs appartenant à un client ou à ses propres serveurs, mais le récent rapport a montré que dans certains cas, des informations telles que les numéros de carte de crédit, les adresses e-mail ou les codes postaux ne sont pas masquées.

Enfin, notons qu'il y a bien d'autres sociétés d'analyse qui ont des pratiques similaires. Il existe donc sans aucun doute de nombreuses autres applications qui utilisent ces fonctionnalités d'enregistrement d'écran secret sans que l'utilisateur en soit au courant.

Sources : Apple Insider, Mac Rumors

Et vous ?

Qu'en pensez-vous ?
Avez-vous développé des sites ou applications intégrant une fonctionnalité de relecture d'enregistrement de sessions ? Dans quels buts ?

Voir aussi :

Un grand nombre d'applications VPN gratuites populaires sur Google Play et App Store sont détenues par des entités chinoises ou sont basées en Chine
App Store : les clients ont dépensé 1,22 milliard $ entre le réveillon de Noël et le réveillon du nouvel an, et plus de 322 millions $ au nouvel an
Des chercheurs en sécurité ont découvert d'autres applications du Mac App Store en train de voler des données utilisateur et ont été supprimées
Une Application Mac Adware Doctor prise en train de voler les historiques de navigation des utilisateurs et supprimée de Mac App Store
Apple demanderait aux développeurs d'abandonner la vente d'applis à bas prix sur l'App Store et d'opter plutôt pour la vente par abonnement