00:00Temu, Temu, le juin du commerce mondial chinois, vole-t-il nos données bancaires ?
00:04Vole-t-il des données tout court ?
00:06On est dans le laboratoire de Coutte-Que-Coutte.
00:08J'ai demandé à un hacker professionnel de vérifier tout le site Temu.
00:12Et dans la foulée, je lui ai demandé de jeter un oeil sur cette caméra de surveillance vendue à moins de 12 euros.
00:17Est-ce que toutes mes données, toutes mes images personnelles seront volées si j'achète ça ?
00:21On est dans le labo de Coutte-Que-Coutte.
00:26Guillaume Deterville, bonjour.
00:27Bonjour Benjamin.
00:28On vous connaît comme hacker éthique, société Cresco.
00:31Vous testez la sécurité des entreprises.
00:33Mais je vous ai demandé d'analyser le site Temu.
00:35J'ai remis tout un rapport.
00:37On voit d'abord que tout le codage de Temu, donc tout ce qui est le coulisse de Temu, est obfusqué, comme vous dites.
00:42C'est-à-dire que c'est caché.
00:44C'est classique qu'on cache le code de programmation d'un site Internet ?
00:47Ce n'est pas le site Internet, mais c'est l'application mobile qui est obfusquée.
00:50C'est assez classique.
00:51La majorité des applications mobiles sont obfusquées.
00:54C'est-à-dire qu'il y a quelque chose qui permet qu'on ne puisse pas lire le code en clair.
00:58Le problème de ça, forcément, qui en découle, c'est qu'on ne peut pas s'assurer que le code est sain, qu'il n'y a rien de malicieux dedans.
01:05On n'a pas toutes les infos dans nos mains.
01:07Ah oui, donc on reste avec un point d'interrogation.
01:09Sur certains aspects, on reste avec un point d'interrogation.
01:11Ça, ce n'est pas bon sur un site de commerce chinois qui suscite beaucoup de questions et de questionnements.
01:15Alors, les données bancaires.
01:16Quand je vais acheter sur Temu, je vais mettre mon numéro de carte de crédit.
01:20Est-ce qu'ils utilisent bien mes données bancaires ou ils les volent ?
01:23Car on disait encore il y a quelques mois qu'ils récupéraient des données bancaires.
01:27Alors, on ne peut pas affirmer ou infirmer qu'ils volent les données bancaires.
01:31Ce qui est certain, c'est qu'il est effectivement possible sur Temu de payer et donc de commander des choses en mettant directement sa carte bancaire,
01:38qu'il n'y a pas forcément de processeur de paiement.
01:41Donc, il n'y a pas forcément une banque tierce qui va aller vérifier la sécurité de cette transaction.
01:47Typiquement, en payant avec une carte de crédit classique, on ne voit pas apparaître un petit G-code.
01:52On ne reçoit pas forcément un SMS comme dans les transactions qu'on a dans nos pays.
01:56Donc, le paiement se fait automatiquement et la carte bancaire reste stockée chez Temu.
02:00Donc, ce qu'eux font de cette donnée, c'est un petit peu flou.
02:04On ne peut pas affirmer qu'ils la volent, mais voilà, on sait qu'ils la stockent et que c'est de leur côté.
02:09Ce que nous, on peut conseiller, c'est que fondamentalement, il y a moyen de payer avec d'autres méthodes.
02:14Typiquement, Apple Pay, le paiement Android, tout ce qui est que l'on ne paye pas.
02:18Il vaut mieux choisir un Apple Pay qui ait une meilleure gestion des données que le système propre à Temu.
02:23C'est ça, parce que ce qui se passe chez Temu, on n'en est pas sûr.
02:25Alors, ce n'est pas qu'on peut certifier Apple Pay, mais disons que c'est quand même plus commun.
02:29Apple Pay comme utilité.
02:32On sait que la majorité des gens utilisent Paypal, Klarna, des choses comme ça.
02:37Donc, ça, c'est plutôt des intermédiaires de paiement dans lesquels on a peut-être une meilleure traçabilité que ce que Temu fait de son côté.
02:44Dans votre rapport, il y a un élément que je ne comprends pas.
02:45Vous me mettez préférer l'ordinateur ou le site Internet, même si vous êtes sur un GSM.
02:51C'est mieux de préférer le site Web, c'est mieux de privilégier le site Web plutôt que l'application mobile.
02:57Absolument.
02:57Pourquoi ?
02:58Alors, l'application mobile, elle est enregistrée dans le dur dans votre téléphone, donc elle a accès à pas mal de choses internes au téléphone.
03:05Le fait d'être sur un site Web, c'est créer un espèce de rempart entre le téléphone, ce qui est stocké dedans, sa mémoire locale et le site Web ou l'application en elle-même.
03:15Donc, on va toujours préférer pour la sécurité rester sur le Web et créer ce gap entre l'appareil physique et ce qu'on est en train de consulter.
03:23Tandis que l'application, quand elle est installée sur le téléphone, elle a accès en théorie à beaucoup, beaucoup de choses du téléphone, ce qui n'est pas le cas d'un site.
03:30Alors, du concret maintenant, on a acheté deux objets.
03:33On a acheté un drone E88 Nova qui n'est pas très, très cher, qui est à moins de 20 euros.
03:37On a fait à la télévision sur RTL TV des tests de vol.
03:40Mais ce qui nous intéresse surtout, ce sont les données.
03:44Et vous me dites que cet appareil demande un accès à l'account manager du téléphone.
03:49Qu'est-ce qu'il y a dans la zone account manager du téléphone ?
03:52Alors, ce qu'il y a dans la zone account management, ça peut être très large, mais généralement, c'est les identifiants qui sont stockés, éventuellement des mots de passe, des connexions à d'autres applications.
04:02Ça peut être Amazon ou des applications courantes, peut-être même des applications professionnelles dans certains cas.
04:07Pourquoi ils ont besoin de ça ? Pour faire voler un drone ?
04:09Surtout que l'application ne permet même pas de faire voler le drone, elle fait juste de la retransmission vidéo.
04:15Donc, on ne peut même pas contrôler le drone avec l'application.
04:17Et elle demande l'accès à tout un tas de choses.
04:20La localisation, le micro du téléphone, l'account management, comme vous l'avez dit, et tout un tas d'autres autorisations.
04:27On ne voit pas l'intérêt pour une application de drone d'avoir.
04:30Suspect ? Vous dites suspect ?
04:31Je dirais plutôt très suspect.
04:33Ok, très suspect.
04:34Alors, il y a aussi sur Temu une caméra de surveillance que nous avons achetée.
04:37Elle est à 11,84 euros.
04:39Caméra de surveillance, c'est que le risque, évidemment, que tout le monde ait accès aux données.
04:43Qu'est-ce que vous avez vu sur l'application de cette caméra de surveillance ?
04:45Alors, sur l'application de cette caméra de surveillance, une première chose, c'est que les données sont stockées dans un cloud.
04:51Elles sont stockées en ligne quelque part.
04:52Le problème, c'est qu'on ne sait pas où sont ces serveurs.
04:55On ne sait pas qui a accès à toutes les vidéos.
04:56Donc, imaginons qu'on l'installe chez soi, que ça filme à l'intérieur.
05:00On ne sait pas où vont les vidéos.
05:02On ne sait pas qui a accès.
05:04Et en plus de ça, la caméra récupère forcément énormément de choses.
05:08Donc, typiquement, les bruits ambiants.
05:10Elle demande aussi énormément d'accès sur le téléphone où se trouve l'application.
05:15Typiquement, la localisation, les contacts, etc.
05:19Et on voit qu'au niveau de la gestion de la donnée, dans la politique de confidentialité,
05:23ils disent que cette donnée peut être traitée par tout un tas de partenaires qui ne sont pas explicitement nommés.
05:28Donc, voilà, on ne sait pas très bien qui a accès à cette donnée,
05:31qui pourrait avoir théoriquement accès à cette donnée.
05:34Et on ne sait pas non plus où elle est stockée et comment elle est utilisée.
05:37Votre conseil, est-ce que je mets cette caméra de surveillance dans ma maison ?
05:40Je déconseillerais aussi fortement.
05:41En plus de ça, c'est des identifiants par défaut qui sont utilisés.
05:44Donc, on peut s'y connecter en notant admin, admin, qui est assez commun dans les caméras de surveillance.
05:49Mais donc, même la sécurité intrinsèque de la caméra permet une connexion aisée à n'importe qui.
05:55Parfois, les conseils ne sont pas clairs. Là, c'est clair et net. Je m'abstiens.
05:58Merci Guillaume Deterville.
05:59Avec plaisir.
Commentaires