La néobanque française Shine lit le contenu de votre presse-papier
Nous avons découvert cette pratique en installant la dernière version d’iOS sur un iPhone.
Lors de sa dernière conférence en ligne, Apple a dévoilé toutes les nouveautés d’iOS 14. Parmi elles, l’un des plus remarquables consiste en une notification qui apparaît sous forme de popup pour prévenir les utilisateurs dès lors qu’une application se permet d’accéder au contenu de leur presse-papier. Cette mémoire cache, que l’on retrouve dans chaque smartphone, est parfois le lieu où se trouvent des informations particulièrement confidentielles.
De nombreux éditeurs ont déjà été épinglés pour profiter abusivement de cette “faille”, dont notamment ByteDance, la firme chinoise qui commercialise le réseau social TikTok très populaire chez les plus jeunes. Mais aujourd’hui, c’est bel et bien une société installée dans l’Hexagone qui est concernée : Shine.
Les faits
Si ce nom ne vous est pas inconnu, c’est normal, puisque la startup vient tout juste d’être rachetée par le groupe Société Générale pour un montant de 100 millions d’euros, selon Crunchbase. Autant dire qu’il s’agit là d’une valeur sûre du secteur des banques en ligne, qui avec plus de 70 000 clients a déjà levé plus de dix millions d’euros. Derrière ce succès, on retrouve Kima Ventures, le fonds d’investissement de Xavier Niel spécialiste des petits tickets qui a permis à l’entreprise de décoller.
Abonné depuis de longs mois, je me suis donc aperçu par hasard la semaine dernière en ouvrant Shine pour consulter mes comptes que l’application avait eu le temps de consulter le texte que j’avais copié auparavant depuis une autre app. Peu rassurant, surtout de la part d’un acteur censé être particulièrement regardant sur la sécurité car traitant avec des transactions financières.
Il m’a ensuite suffi de reproduire le même schéma plusieurs fois (en copiant par exemple un lien depuis Google Chrome) pour m’apercevoir que ce comportement est systématique. Impossible en revanche de savoir depuis quand dure cette automatisation. Difficile également de comprendre le pourquoi de ce stratagème, car je n’ai pas trouvé de champs de texte proposant de coller un texte copié auparavant comme le fait par exemple déjà la barre de recherche du navigateur.
Nous avons contacté Shine, sans réponse pour le moment, mais nous mettrons à jour cet article si nous en recevons une.
Mise à jour – Voici les éléments de réponse transmis par Shine :
Droit de réponse de Shine :
Bonjour […],
Vous nous avez envoyé un message hier soir, dimanche, nous demandant des éléments avant publication de votre article ce lundi matin à 8h. Après analyse de notre côté, voici les réponses à vos questions.
Shine n’accède volontairement au presse-papier qu’à deux occasions : lorsqu’un utilisateur copie le lien de parrainage pour l’envoyer à un proche, et lorsqu’un utilisateur copie le lien d’une facture pour l’envoyer via un autre moyen que par l’application. Dans ces deux cas très précis, l’accès au presse-papier sert à y écrire des éléments (ce que l’utilisateur souhaite copier), et non à y récupérer des données.
Suite à votre feedback, nous avons découvert qu’il existait une troisième occasion, dont nous ignorions l’existence, et qui était le fait d’un outil tiers que nous utilisons. D’après les informations dont nous disposons, l’outil en question utilise cet accès pour vérifier la présence d’un type de lien particulier dans le presse-papier. Ainsi, contrairement à ce que vous affirmez en titre de votre article, Shine ne lit pas le contenu du presse-papier : l’accès utilisé ne servait qu’à vérifier la présence d’un type de contenu (en l’occurrence un type de lien) mais pas à consulter les contenus présents.
Shine n’a pas besoin de cet accès et nous avons fait le nécessaire auprès de l’outils en question pour le désactiver. Ce sera effectif dans la prochaine mise à jour de l’application.
Merci de nous l’avoir communiqué ! Nous prenons très à coeur les sujets liés à la protection de la vie privée, et nous encourageons donc tous les utilisateurs à nous contacter directement lorsqu’ils ont un doute sur ce sujet : security@shine.fr.
Bonne journée,
Shine
User1473390662111 (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 8 h 18 min
J’ai constaté le même comportement avec l’application Flipboard
User1473882425412 (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 8 h 43 min
merci !! j’espère qu’ils vont changer leur comportement sinon je changerai de banque pro. je vais les contacter également, histoire de mettre un petit coup de pression, et j’invite tous les utilisateurs de shine d’en faire de même.
User1473882425412 (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 8 h 52 min
message envoyé à shine. est-ce que cette pratique peut motiver une rupture de contrat ?
Bonobo (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 10 h 55 min
?
Lecteur-1551207997 (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 11 h 47 min
Pour information, même comportement aussi de la part de l’application la poste
GillesB (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 13 h 06 min
Comment fait-on pour détecter ce problème ?
Merci
Clelolo (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 13 h 09 min
Oui svp détaillez le problème
Mike (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 15 h 00 min
Le problème est récurent aussi avec l’application i-info.fr, sauf dans le mode sombre en bêta.
User1473882425412 (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 16 h 29 min
y a-t-il une manipulation pour vider le presse-papiers ?
Bonobo (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 16 h 47 min
@User1473882425412 il suffit de copier autre chose.
User1473882425412 (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 17 h 25 min
@Bonobo ok, merci, donc le presse-papiers ne garde qu’une seule copie ? super, je fais un copier de « Gros Bât… » et j’ouvre l’appli de shine ??
User1473882425412 (posté avec l'app i-nfo.fr V2)
20 juillet 2020 à 17 h 51 min
réponse de Shine :
Merci pour votre message. Nous comprenons votre inquiétude et vous faites bien de nous en faire part. Nous avons effectuer des recherches de notre côté afin de nous assurer de la bonne protection de vos données. Voici donc en détails ce qu’il se passe de notre côté.
Shine n’accède volontairement au presse-papier qu’à deux occasions :
lorsqu’un utilisateur copie le lien de parrainage pour l’envoyer à un proche ;
lorsqu’un utilisateur copie le lien d’une facture pour l’envoyer via un autre moyen que par l’application.
Dans ces deux cas très précis, l’accès au presse-papier sert à y écrire des éléments (ce que l’utilisateur souhaite copier), et non à y récupérer des données.
Suite aux articles publiés, nous avons découvert qu’il existait une troisième occasion, dont nous ignorions l’existence, et qui était le fait d’un outil tiers que nous utilisons. D’après les informations dont nous disposons, l’outil en question utilise cet accès pour vérifier la présence d’un type de lien particulier dans le presse-papier. Ainsi, contrairement à ce que l’affirme l’article, Shine ne lit pas le contenu du presse-papier : l’accès utilisé ne servait qu’à vérifier la présence d’un type de contenu (en l’occurence un type de lien) mais pas à consulter les contenus présents.
Shine n’a pas besoin de cet accès et nous avons fait le nécessaire auprès de l’outils en question pour le désactiver. Ce sera effectif dans la prochaine mise à jour de l’application.
Merci d’avoir pris le temps de nous avoir fait part de votre inquiétude ! Nous prenons très à coeur les sujets liés à la protection de la vie privée. Nous encourageons donc tous les utilisateurs à nous contacter directement lorsqu’ils ont un doute sur ce sujet : security@shine.fr.
N’hésitez pas à me recontacter si vous avez la moindre question.
Bien à vous,
BanquesPolluantes
21 juillet 2020 à 17 h 21 min
Comment j’ai bien fait de me barrer de chez eux. Leurs services étaient OK bien que pas d’Apple Pay, le service client très compétent… mais je me suis toujours dit qu’il y avait un truc qui sonnait faux avec Shine…
… en plus maintenant,une des 3 banques françaises les plus polluantes à racheté l’affaire …
L’argent n’a pas d’odeur hein…
Lecteur-1585482088 (posté avec l'app i-nfo.fr V2)
22 juillet 2020 à 7 h 20 min
Apple, xav niels et consort que des gens très honnêtes !!
thomas.public (posté avec l'app i-nfo.fr V2)
22 septembre 2020 à 1 h 41 min
Même problème avec l’application Rires et chansons ?