Sarahah, phénomène de la tech du Moyen-Orient, est un service désormais utilisé par 18 millions de personnes à travers le monde. Toutefois, cette jeune pousse venue de nulle part n'aurait que peu d'égards pour la confidentialité de nos données. Un chercheur estime même que l'application collecte et envoie les données personnelles de ses utilisateurs à son créateur.

Lorsque nous découvrions Sarahah, il y a à peine un mois, nous parlions d’une tache d’huile phénoménale à la croissance insolente. En quelques semaines, l’application arabe a en effet trouvé des millions d’utilisateurs à travers le monde ; d’abord limité aux pays arabophones, le buzz a secoué les adolescents de parts et d’autres du globe.

Aujourd’hui, si l’on additionne ses utilisateurs sur iPhone à ceux sur Android, nous obtenons un total de 18 millions d’utilisateurs à travers le monde. Un seuil à partir duquel l’application devient plus qu’un buzz et doit commencer à s’interroger sur son modèle de développement à long terme.

Une app anonyme très indiscrète…

Pour rappel, Sarahah promet à ses utilisateurs de « libérer la parole et d’obtenir des avis anonymes sur votre personnalité  » à travers un système de messagerie anonyme. Lancée entre autres grâce à des partages de liens Sarahah sur Snapchat, la messagerie est asymétrique : l’expéditeur est anonyme, mais le destinataire est ciblé. Sur le réseau social éphémère, les ados postaient le lien de leur Sarahah pour obtenir les fameuses notes anonymes à leur propos. Cette soif de regards extérieurs — particulièrement compréhensibles, mais dangereuse à l’adolescence — a convaincu ces jeunes d’adopter une nouvelle appli dans leur smartphone.

Toutefois, selon The Intercept, ce Sarahah pourrait cacher une double intention. Zachary Julian, expert en sécurité informatique de la firme Bishop Fox, assure que Sarahah collecte des données confidentielles sur les smartphones de ses utilisateurs. Sur le Galaxy S5 (Android 5.1.1) du chercheur, l’application a été surprise par un proxy alors qu’elle envoyait vers Internet des données récupérées sur le smartphone.

« Dès lors que vous vous connectez dans l’application, elle transmet toutes vos adresses email et vos contacts sauvegardés sur le carnet d’adresses du système Android  », détaille Julian. Il ajoute par ailleurs que sur les versions récentes d’Android et sur iOS, l’application doit formuler une demande avec le fameux gestionnaire d’autorisations pour accéder aux contacts. Toutefois, il ne semble pas il y avoir dans cette collecte un intérêt pour l’utilisateur : Sarahah étant anonyme, les contacts de l’utilisateur sont superflus pour faire fonctionner la messagerie. The Intercept a réalisé avec M. Julian une vidéo de démonstration des envois intempestifs de l’application.

Contacté par le média anglophone, Zain al-Abidin Tawfiqn créateur de l’app, plaide pour l’erreur. Il précise que la fonctionnalité sera supprimée prochainement de l’application et n’était présente que pour des tests d’une fonctionnalité trouvez vos amisSelon Tawfiq, un correctif serait attendu dans son application, mais semble tarder à cause de problèmes techniques. Toujours selon le créateur, le serveur de l’application aurait abandonné le suivi de cette fonctionnalité, les données partiraient donc dans le vide… Une déclaration techniquement invérifiable et qui ne peut tout à fait rassurer.

Sarahah, première du classement français d’Apple (mercredi 2 août)

Selon la politique déclarée de l’application, les données des utilisateurs ne peuvent être revendues. Toutefois, à l’heure où des millions de contacts, numéro de téléphone et adresses mail sont partis en destination des serveurs de l’appli, il est difficile de prévenir quel usage en fera l’éditeur. Et même s’il s’agissait d’une erreur, la méthode est suffisamment floue pour poser problème.

En outre, si Sarahah souhaite faire évoluer son business model vers la collecte et l’utilisation des données de ses utilisateurs, il faut d’abord respecter deux principes essentiels : rendre les données collectées utiles à l’utilisateur, afin de justifier la collecte et prévenir l’utilisateur sur la collecte et son intention. En attendant, on ne peut que conseiller de se passer des services de Sarahah.

Partager sur les réseaux sociaux