Une étude récente a révélé que l’application de cybersécurité Clean Master de la société chinoise Cheetah Mobile a enregistré plus de données sur les utilisateurs qu’elle ne le devrait probablement. Alors qu’elle promet une protection antivirus et une navigation privée, l’application est comprise comme ayant enregistré la navigation en ligne, les recherches et le nom de chaque point d’accès Wi-Fi auquel l’appareil se connecte.
Le rapport n’est que le dernier d’une série de controverses pour l’entreprise et l’application. En 2014, il a été découvert que les publicités faisant la promotion de Clean Master tentaient d’effrayer les utilisateurs pour qu’ils téléchargent l’appli avec des pop-ups leur indiquant qu’un virus avait infecté leur appareil. En 2018, la société a été accusée de mener une fraude publicitaire, ce qui a conduit Google à retirer toutes les applications de Cheetah Mobile du Play Store. Indépendamment de cela, l’application est restée active et populaire, possédant plus d’un milliard d’installations avant son interdiction.
Une étude récente, menée par le chercheur Gabi Cirli de la société de cybersécurité White Ops, a révélé que Cheetah avait collecté des données par le biais de ses applications, Security Master, Clean Master, CM Browser et CM Launcher. « Techniquement parlant, ils ont une politique de confidentialité qui couvre à peu près tout et leur donne un blanc-seing pour tout exfiltrer », a déclaré Cirlig à Forbes. Ajoutant, que si son pas clair si les actions de Cheetah sont punissables, ils sont proches de franchir une ligne claire.
Cheetah’s Gray Area Of Operation
Cheetah a admis les revendications, mais a ajouté qu’il n’avait aucune intention d’utiliser les données pour compromettre la vie privée des utilisateurs. L’entreprise affirme que, bien que son siège social se trouve à Pékin, en Chine, elle envoie les données qu’elle collecte à un système Amazon Web Services distant. Le fait d’opérer dans un pays étranger, avec des produits uniquement accessibles via Internet, entraîne une vaste zone grise. Google a supprimé les applications de l’entreprise en raison de ses politiques, et non de celles d’un organe directeur. De même, le Patriot Act américain ne punit que l’accès non autorisé à un ordinateur. Sur le plan juridique, l’action de Cheetah ne diffère pas de celle de Facebook, une société poursuivie par la Californie pour violation de la vie privée. Une différence majeure est que Facebook est une société basée aux États-Unis, alors que Cheetah ne l’est pas.
A travers ses applications, Cheetah a créé des catalogues de données d’utilisateurs et au point que, si elles n’étaient pas cryptées, il serait facile d’identifier les utilisateurs. Alors que Cheetah affirme respecter les lois locales sur la vie privée, sa localisation en Chine est source d’inquiétude. Le gouvernement de la Chine continentale exige que toutes les sociétés opérant à l’intérieur de ses frontières soient en mesure de partager des informations, sur demande. Bien qu’il ne soit pas certain que la Chine fasse quoi que ce soit avec (ou même veuille) ces données, la possibilité demeure, en raison de l’endroit où Cheetah opère.