Applications

La néobanque française Shine lit le contenu de votre presse-papier

Nous avons découvert cette pratique en installant la dernière version d’iOS sur un iPhone.

Il y a

le

Par

© iPhon.fr

Lors de sa dernière conférence en ligne, Apple a dévoilé toutes les nouveautés d’iOS 14. Parmi elles, l’un des plus remarquables consiste en une notification qui apparaît sous forme de popup pour prévenir les utilisateurs dès lors qu’une application se permet d’accéder au contenu de leur presse-papier. Cette mémoire cache, que l’on retrouve dans chaque smartphone, est parfois le lieu où se trouvent des informations particulièrement confidentielles.

De nombreux éditeurs ont déjà été épinglés pour profiter abusivement de cette “faille”, dont notamment ByteDance, la firme chinoise qui commercialise le réseau social TikTok très populaire chez les plus jeunes. Mais aujourd’hui, c’est bel et bien une société installée dans l’Hexagone qui est concernée : Shine.

Les faits

Si ce nom ne vous est pas inconnu, c’est normal, puisque la startup vient tout juste d’être rachetée par le groupe Société Générale pour un montant de 100 millions d’euros, selon Crunchbase. Autant dire qu’il s’agit là d’une valeur sûre du secteur des banques en ligne, qui avec plus de 70 000 clients a déjà levé plus de dix millions d’euros. Derrière ce succès, on retrouve Kima Ventures, le fonds d’investissement de Xavier Niel spécialiste des petits tickets qui a permis à l’entreprise de décoller.

Abonné depuis de longs mois, je me suis donc aperçu par hasard la semaine dernière en ouvrant Shine pour consulter mes comptes que l’application avait eu le temps de consulter le texte que j’avais copié auparavant depuis une autre app. Peu rassurant, surtout de la part d’un acteur censé être particulièrement regardant sur la sécurité car traitant avec des transactions financières.

© iPhon.fr

Il m’a ensuite suffi de reproduire le même schéma plusieurs fois (en copiant par exemple un lien depuis Google Chrome) pour m’apercevoir que ce comportement est systématique. Impossible en revanche de savoir depuis quand dure cette automatisation. Difficile également de comprendre le pourquoi de ce stratagème, car je n’ai pas trouvé de champs de texte proposant de coller un texte copié auparavant comme le fait par exemple déjà la barre de recherche du navigateur.

Nous avons contacté Shine, sans réponse pour le moment, mais nous mettrons à jour cet article si nous en recevons une.

Mise à jour – Voici les éléments de réponse transmis par Shine :

Droit de réponse de Shine : 

Bonjour […],
Vous nous avez envoyé un message hier soir, dimanche, nous demandant des éléments avant publication de votre article ce lundi matin à 8h. Après analyse de notre côté, voici les réponses à vos questions.
Shine n’accède volontairement au presse-papier qu’à deux occasions : lorsqu’un utilisateur copie le lien de parrainage pour l’envoyer à un proche, et lorsqu’un utilisateur copie le lien d’une facture pour l’envoyer via un autre moyen que par l’application. Dans ces deux cas très précis, l’accès au presse-papier sert à y écrire des éléments (ce que l’utilisateur souhaite copier), et non à y récupérer des données.
Suite à votre feedback, nous avons découvert qu’il existait une troisième occasion, dont nous ignorions l’existence, et qui était le fait d’un outil tiers que nous utilisons. D’après les informations dont nous disposons, l’outil en question utilise cet accès pour vérifier la présence d’un type de lien particulier dans le presse-papier. Ainsi, contrairement à ce que vous affirmez en titre de votre article, Shine ne lit pas le contenu du presse-papier : l’accès utilisé ne servait qu’à vérifier la présence d’un type de contenu (en l’occurrence un type de lien) mais pas à consulter les contenus présents.
Shine n’a pas besoin de cet accès et nous avons fait le nécessaire auprès de l’outils en question pour le désactiver. Ce sera effectif dans la prochaine mise à jour de l’application.
Merci de nous l’avoir communiqué ! Nous prenons très à coeur les sujets liés à la protection de la vie privée, et nous encourageons donc tous les utilisateurs à nous contacter directement lorsqu’ils ont un doute sur ce sujet : security@shine.fr.
Bonne journée,
Shine

i-nfo.fr - App officielle iPhon.fr
Par : Keleops AG
4.4 / 5
606 avis
15 Commentaires

Sur le même sujet

Quitter la version mobile