L’application Stardust s’est fait connaître en promettant de protéger les données des utilisatrices. Mais des articles remettent en cause leur sécurisation.

Le lendemain de la décision de la Cour suprême de ne plus protéger le droit à l’avortement, une vidéo a retenu l’attention de nombreuses femmes sur Tiktok. « Je voulais l’annoncer la semaine prochaine, mais au vu de ce qu’il se passe… nous sommes dorénavant la première app de suivi des règles à mettre en place le chiffrement de bout en bout », peut-on entendre sur la vidéo. « Cela signifie que si nous sommes assignées par le gouvernement, nous ne serons pas capables de fournir les données concernant le suivi de vos règles », continue-t-elle. « Elles sont complètement anonymisées, nous ne pouvons pas les voir, et vous êtes la seule personne à y avoir accès ».

L’app dont il est question s’appelle Stardust. Elle est présentée dans la vidéo de Tiktok par Rachel Moranis, sa fondatrice. L’app est une nouvelle venue sur le marché, lancée en février 2021, et elle est encore relativement peu connue. Mais la séquence va devenir virale et la promesse de la sécurité des données séduit : pendant le week-end, Stardust se hisse dans le classement des apps les plus téléchargées sur l’App Store. Sauf que tout n’est pas exactement reluisant avec Stardust.

Stardust est-elle vraiment sûre ?

Peu après la publication du Tiktok viral, Vice a publié un article le 27 juin dans lequel il révèle que les conditions d’utilisation de l’app indiquent que Stardust fournirait des données aux forces de l’ordre — même sans y être obligée. « Nous pouvons communiquer vos données, de manière anonymisée et chiffrée, à des parties tierces pour protéger la sécurité de l’entreprise […], et pour nous soumettre aux demandes des forces de l’ordre, que nous y soyons obligées, ou non », pouvait-on lire sur le site de Stardust.

Depuis la publication de l’article de Vice, les termes et conditions d’utilisation ont été changés — elles indiquent maintenant que Stardust ne fournira ces informations que lorsqu’elle en a l’obligation.

Mais ce n’est pas le seul problème soulevé depuis par des journalistes. Le 27 juin également, Tech Crunch révèle que Stardust partage les numéros de téléphone de ses utilisatrices avec une entreprise tierce, Mixpanel, spécialisée dans l’analyse de données. En plus du numéro de téléphone, Stardust fournissait à Mixpanel des détails sur l’appareil sur lequel l’app était installée, comme le type d’iPhone, quelle version d’iOS et l’opérateur.

stardust_2
L’app Stardust a plusieurs fois changé de version sur la sécurisation des données des utilisatrices. // Source : Stardust

L’analyse de Tech Crunch a montré qu’aucune donnée de santé n’était partagée — mais le fait de savoir qu’un numéro de téléphone utilise une telle app est déjà une information extrêmement éclairante. Surtout, les autorités américaines pourraient forcer Mixpanel à leur livrer les données, selon Tech Crunch. Stardust a répondu en expliquant que l’app ne partageait plus ce type de données avec Mixpanel, et qu’il s’agissait d’une ancienne version.

Enfin, le journal remet en doute le fait que les données collectées par Stardust seraient bien chiffrées de bout en bout, et estime qu’il est difficile d’affirmer que c’est bien le cas. Après la publication de l’article, Stardust a, discrètement, supprimé de ses conditions d’utilisation la mention de chiffrement de bout en bout.

Tous ces défauts ne seraient pas forcément des problèmes en soi en temps normal — mais à l’heure où certains États encouragent la délation envers les femmes qui auraient eu recours à l’avortement, l’inconsistance de Stardust inquiète. Même si la volonté de protéger toujours plus les données est louable, annoncer prématurément ou à tort d’une app ne partage pas de données est dommageable, et surtout, dangereux pour les utilisatrices qui se croiraient en sécurité. Et si Stardust n’est pas aussi fiable qu’elle le prétend, qu’en est-il des autres ?