Tea n’est pas un nom très connu dans nos contrées, ce qui est logique puisque cette app pour iOS et Android pensée pour permettre aux femmes de donner un avis sur les hommes avec qui elles sont sorties n’est pas disponible en Europe. Elle fait beaucoup parler d’elle outre-Atlantique, et pas pour de bonnes raisons. Au-delà d’éventuelles polémiques sur son mode de fonctionnement, c’est surtout sa sécurité absolument désastreuse, sans aucun respect des règles de base dans ce domaine, qui a été révélée par une enquête menée par le site 404 Media.

À l’origine, ce sont des utilisateurs du forum 4chan qui ont mis la main sur une base de données publique gérée par les développeurs de Tea et qui contient des informations très personnelles sur les utilisatrices de l’app. Dans le lot, des photos, des messages privés et même des copies de documents officiels qui servent à créer un compte et qui sont théoriquement supprimées dans la foulée. Les créateurs de Tea ont confirmé la faille de sécurité auprès de 404Media en affirmant toutefois que les données avaient plus de deux ans, ce qui est faux. Le site a pu le prouver en récupérant des messages privés de moins d’une semaine.
Ces messages privés échangés entre les utilisatrices de Tea révèlent beaucoup d’informations privées, dont certaines potentiellement dangereuses avec le climat politique américain. En particulier, plusieurs échanges concernent des avortements, qui sont désormais illégaux dans plusieurs États, si bien que des femmes pourraient se retrouver poursuivies par la justice par le biais de ces fuites. Certes, seuls les identifiants sont associés aux conversations dans la base de données en accès libre, mais 404Media note que retrouver les noms des auteurs était très facile. Sans compter que de nombreux messages contiennent des noms, notamment d’hommes signalés par les utilisatrices, ce qui les ancre encore davantage dans le monde réel.
Avec ces failles majeures, plus de 70 000 images ont été récupérées et un grand nombre de conversations en théorie privées. Tea revendiquant 1,6 millions d’utilisateurs actifs, il y a probablement encore bien plus sur ses serveurs et même si on peut imaginer que des protections ont été ajoutées depuis, on ne peut pas écarter l’hypothèse d’un siphonnage de données à plus grande échelle encore. Malgré tout cela, le service n’a pas disparu des radars, bien au contraire : comme le relève John Gruber, l’app est toujours classée troisième au classement général de l’App Store américain. J’ai pu vérifier que c’était toujours le cas au moment où j’écris ces lignes.

La polémique a aussi permis au service de se faire connaître car après tout, toute publicité, même mauvaise, est bonne à prendre. On imagine que de nombreuses personnes sont curieuses de voir à quoi ressemble cette app, ce qui entraîne une augmentation mécanique du nombre de téléchargements. Le blogueur s’interroge toutefois sur la présence maintenue de Tea dans les classements de l’App Store, en soulignant son absence du côté de Google Play. Le créateur d’Android n’a pas supprimé l’app et celui de l’iPhone ne devrait sans doute pas le faire, puisque ses failles relèvent de l’incompétence plutôt que de la malveillance jusqu’à preuve du contraire. En revanche, la boutique de Google ne la met plus du tout en avant et il faut chercher son nom pour la retrouver.
Pourquoi est-ce qu’Apple n’en fait pas de même sur l’App Store ? La laisser si haut dans le classement, c’est lui faire de la publicité et l’app de Tea ne le mérite certainement pas en ce moment.