L’application Meitu connait un gros succès grâce à son étonnante fonction « d’amélioration » de selfie. Les images créées à partir de cette app se multiplient sur les réseaux sociaux, ce qui est plutôt bon enfant (lire : Meitu rend les selfies plus pimpants). Mais des doutes sur l’éditeur chinois de cette application, Xiamen Meitu Technology, ont commencé à jeter une ombre sur l’app et sur la protection de la vie privée de ses utilisateurs.
Comme l’a montré le chercheur en sécurité Jonathan Zdziarski au travers d’une série de tweets, Meitu multiplie les outils de pistage des utilisateurs, sans doute à des fins publicitaires. Ça n’a rien d’étonnant, l’application et le service sont gratuits et il faut bien que l’éditeur se rémunère quelque part. Mais Xiamen Meitu demande beaucoup de données, notamment sur Android : localisation, données sur les appels, informations sur l’opérateur, connexions Wi-Fi, numéro d’identifiant unique…
Sur iOS, Meitu fouine également et cherche à obtenir des données sur l’opérateur, à savoir si l’appareil est jailbreaké… Zdziarski se demande si le code de l’application n’enfreindrait pas quelques règles de l’App Store. Pour d’autres spécialistes versés dans l’analytics, l’app iOS « collecte des informations qui sont “partiellement sensibles”, sur l’opérateur mobile par exemple, mais ce n’est pas rare avec les outils d’analyse. Beaucoup font de même », explique Will Strafach de Sudo Security Group.
De fait, bien d’autres applications gratuites essaient d’obtenir un maximum d’informations sur leurs utilisateurs ; bien plus que nécessaire pour le bon fonctionnement des apps. Devant les interrogations, Xiamen Meitu a tenu à rassurer son monde : à Cnet, un porte-parole indique que les données recueillies par l’application ne sont vendues à personne. En Chine, les éditeurs locaux ne pourraient exploiter les services de tracking fournis par les boutiques officielles comme l’App Store et le Play Store : ils sont bloqués.
C’est pourquoi Xiamen Meitu ne pourrait faire autrement qu’en passer par des services de tracking tiers et maison. Le représentant de l’éditeur précise aussi que les données collectées sont transférées de manière sécurisée et que les serveurs sont protégés afin d’empêcher les attaques externes. Sur iOS, les informations concernant l’opérateur ne serviraient qu’aux fonctions localisées de l’app, ainsi que pour la publicité. La détection du jailbreak serait utile pour le SDK de WeChat intégré dans l’app, qui compte plus de 450 millions d’utilisateurs mensuels actifs.
