PayPal collecte vos données personnelles, nouveau scandale après OnePlus et Wiko ?
Déjà à l'origine des affaires Wiko et OnePlus, Elliot Alderson s'en prend désormais à PayPal. Selon lui, le système de paiement en ligne collecte bien plus de données personnelles sur ses utilisateurs qu'il n'en a besoin, comme l'identité de votre opérateur téléphonique ou votre localisation.
Au tour de PayPal d'être dans le viseur d'Elliot Alderson, le développeur spécialisé en sécurité informatique dont le pseudo est une référence à la série Mr Robot. Sur Twitter, il demande des comptes à la plateforme de paiement en ligne, qu'il accuse de collecter bien plus de données personnelles sur ses utilisateurs qu'il n'en a besoin.
Après OnePlus et Wiko, PayPal accusé de jouer avec nos données personnelles
C'est en farfouillant dans le code de l’application Android qu'il a découvert quelques irrégularités. Dans les outils anti-fraude, il a constaté qu'une partie du code concernant les métadonnées étaient cachées alors même que le reste du SDK (Software development kit) de Paypal est open source. Elliot Alderson a alors creusé et est parvenu à accéder aux métadonnées récoltées par l'application. Parmi les informations récupérées, on retrouve la localisation, l'adresse IP depuis laquelle vous êtes connecté, l'espace de stockage du smartphone, le SSID du réseau Wi-FI, votre opérateur téléphonique, la dernière mise à jour installée et bien d'autres.
Le développeur demande des explications à PayPal, qui vous aide maintenant à lever des fonds pour vos projets entre amis. Il s'insurge contre le fait que les métadonnées récoltées soient cachées alors que le reste du SDK est parfaitement accessible. “Les données personnelles, ça signifie quelques chose pour vous ?”, invective-t-il PayPal. “Pourquoi avez-vous besoin d'autant d'informations ?”, s'interroge Elliot Alderson. Une question qui reste pour l'instant sans réponse.
Le défenseur de la protection des données personnelles avait déjà épinglé Wiko, qui envoyait des informations utilisateurs personnelles sur des serveurs chinois, et OnePlus, qui effectuait la même chose mais transférait les données vers Singapour. Les accusations contre PayPal ne sont pour l'heure pas aussi graves, les données étant récoltées mais a priori pas envoyées sur des serveurs externes. Du moins, on l'espère.
Hi @PayPal ?! Can I ask you something?
I look at your Fraud tools for PayPal integrations on Android aka “Data Collector”. Why the released aar files and jar files doesn't contains the same code ??https://t.co/bZkfuY4Pgu pic.twitter.com/8sShmjEzZc— Elliot Alderson (@fs0c131y) 23 novembre 2017
This package is sending a lot of personal informations like: location, locale, ip, device uptime, ssid, total storage space,… pic.twitter.com/smXELIN4M0
— Elliot Alderson (@fs0c131y) 23 novembre 2017
