Elle fait beaucoup parler d’elle, l’application Meitu. Déjà très populaire en Asie où elle peut compter sur 450 millions d’utilisateurs plus ou moins assidus, Meitu est en train de se frayer un chemin en Occident grâce à ses filtres qui transforment les visages en sorte de personnages tout droit sortis d’un dessin animé japonais pour adolescentes. Mais Meitu a aussi une facette moins reluisante.

Meitu sur Android
Pour une application qui se contente de prendre des selfies et de les passer ensuite à travers divers effets visuels, elle demande décidément beaucoup d’autorisations. On peut s’étonner par exemple qu’elle ait besoin de connaître la position géographique du mobile ou l’identifiant de l’appareil (IMEI) et les informations d’appel, pour savoir si quelqu’un est en train de vous joindre.
Ces demandes d’accès sont pourtant celles que formule Meitu lorsque l’utilisateur s’apprête à lancer l’installation, relève CNET, qui s’interroge sur les raisons qui poussent les concepteurs de l’application à réclamer des accès qui, a priori, ne sont pas indispensables au fonctionnement d’une application qui fait juste de la retouche photo, en somme.
Et encore, s’il n’y avait que ça. Sauf qu’en plongeant sous la surface des choses, c’est-à-dire en auscultant le code source de version iOS de l’application, le spécialiste en sécurité informatique Jonathan Zdziarski a découvert que le logiciel cherchait à vérifier si le mobile est jailbreaké, à connaître le nom de l’opérateur téléphonique et à générer un identifiant unique basé en partie sur l’adresse MAC du mobile.
Yet a third test in Meitu to tell if you’re jailbroken… pic.twitter.com/of5ru0gWzU
— Jonathan Zdziarski (@JZdziarski) January 19, 2017
Meitu does appear to build a unique device id profile of you based in part on your MAC address…
— Jonathan Zdziarski (@JZdziarski) January 19, 2017
Un autre utilisateur pointe aussi le problème qu’a Meitu avec ses demandes de permission et ajoute que l’identifiant IMEI est transféré et dupliqué sur des serveurs chinois. Autant de données qui, selon lui, peuvent servir à Meitu pour faire du business, rappelant que Meitu est valorisé plusieurs milliards de dollars alors qu’il n’a que des applications gratuites. Son or numérique, ce sont les données.
Les conditions d’utilisation de Meitu ne mentionnent pas un éventuel business avec les informations et les accès que réclame l’application. Les seuls usages évoqués concernent l’amélioration du service et le bon fonctionnement de l’application. Cela étant, les constats faits par des observateurs rompus à la sécurité informatique jettent inévitablement une ombre sur Meitu.
Just to let you guys know that photo app that makes you look an anime is sending you IMIE to several servers in China. https://t.co/dQdroq5qhA
— FourOctets (@FourOctets) January 19, 2017
The permissions are also out there as well pic.twitter.com/d3GuAVfM7t
— FourOctets (@FourOctets) January 19, 2017
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !