Avec iOS 14, Apple a apporté quelques améliorations à ses iPhone côté sécurité. Seulement disponible en version bêta pour le grand public à ce jour, le logiciel permet notamment d’alerter les utilisateurs dès lors qu’une application lit le contenu de leur presse-papier, qui stocke toutes les informations qui sont copiées pour être collées ailleurs. Cas d’utilisation typique : vous utilisez Facebook sur Chrome mais décidez de télécharger le client officiel du réseau social sur l’App Store, plus pratique. Pour vous connecter à l’app, vous allez donc copier le mot de passe stocké dans votre navigateur afin de le coller dans l’app Facebook tout juste installée.
Durant la manipulation, l’iPhone conserve alors votre code secret dans une mémoire cache… À laquelle toutes les autres applications installées sur votre mobile ont accès si elles le souhaitent. Parmi elles, c’est donc la FinTech française Shine qui vient d’être épinglée par iPhon.fr pour consulter régulièrement ces informations potentiellement sensibles sans en informer ses clients. Pour rappel, la firme est passée sous le giron de la Société Générale quelques jours plus tôt, et dispose d’une base conséquente de plus de 70 000 membres. Autant de victimes potentielles, donc.
Quels risques pour vos données personnelles ?
S’il est encore compliqué de savoir si Android est également concerné, il faut aussi souligner que ce comportement douteux a auparavant entaché une fois de plus la réputation de ByteDance, société chinoise éditrice de TikTok, très populaire chez les adolescents. Shine est donc loin d’être la première à profiter de cette “faille”, totalement assumée par Apple jusqu’à maintenant. Mais son caractère régulier et automatique est particulièrement inquiétant : en effet, la néobanque semble en réalité consulter le contenu du presse-papier à chaque fois que du texte est copié ailleurs dans iOS, du moins si son application est ouverte par la suite. Voici donc à quoi ressemble la fameuse notification en cause dans l’affaire :
Shine n’a pour le moment pas communiqué de réponse officielle suite à cet incident. On peut néanmoins espérer qu’une mise à jour corrigeant ce problème soit déployée rapidement par les développeurs de l’ex-startup, par gage de sécurité : c’est la moindre des choses de la part d’un service gérant des échanges bancaires.
Mise à jour – Voici les éléments de réponse transmis par Shine :
Droit de réponse de Shine :
Bonjour […],
Vous nous avez envoyé un message hier soir, dimanche, nous demandant des éléments avant publication de votre article ce lundi matin à 8h. Après analyse de notre côté, voici les réponses à vos questions.
Shine n’accède volontairement au presse-papier qu’à deux occasions : lorsqu’un utilisateur copie le lien de parrainage pour l’envoyer à un proche, et lorsqu’un utilisateur copie le lien d’une facture pour l’envoyer via un autre moyen que par l’application. Dans ces deux cas très précis, l’accès au presse-papier sert à y écrire des éléments (ce que l’utilisateur souhaite copier), et non à y récupérer des données.
Suite à votre feedback, nous avons découvert qu’il existait une troisième occasion, dont nous ignorions l’existence, et qui était le fait d’un outil tiers que nous utilisons. D’après les informations dont nous disposons, l’outil en question utilise cet accès pour vérifier la présence d’un type de lien particulier dans le presse-papier. Ainsi, contrairement à ce que vous affirmez en titre de votre article, Shine ne lit pas le contenu du presse-papier : l’accès utilisé ne servait qu’à vérifier la présence d’un type de contenu (en l’occurrence un type de lien) mais pas à consulter les contenus présents.
Shine n’a pas besoin de cet accès et nous avons fait le nécessaire auprès de l’outils en question pour le désactiver. Ce sera effectif dans la prochaine mise à jour de l’application.
Merci de nous l’avoir communiqué ! Nous prenons très à coeur les sujets liés à la protection de la vie privée, et nous encourageons donc tous les utilisateurs à nous contacter directement lorsqu’ils ont un doute sur ce sujet : security@shine.fr.
Bonne journée,
Shine
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Pas très joli ni très journalistique Presse Citron de demander des précisions un dimanche soir pour une publication un lundi matin.