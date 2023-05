En seulement 17 jours après son lancement, Temu a dépassé Instagram, WhatsApp, Snapchat et Shein sur l’App Store d’Apple aux États-Unis, selon les données d’Apptopia partagées avec CNBC. Stefani Reynolds | AFP | Getty Images

Les États-Unis ont accusé le site d’achat à prix réduit Temu de risques potentiels pour les données après que son application sœur chinoise a été retirée de l’App Store de Google pour « malware » – mais les analystes disent qu’ils ne sont pas si inquiets. Comparé à Pinduoduo, qui a été suspendu par Google en mars après que des versions proposées en dehors du Play Store de Google se soient avérées contenir des logiciels malveillants, Temu n’est « pas aussi agressif », a déclaré un analyste. Il a été découvert que le logiciel malveillant de Pinduoduo exploitait des vulnérabilités spécifiques pour les téléphones Android, permettant à l’application de contourner autorisations de sécurité des utilisateurs, accéder aux messages privés, modifier les paramètres, afficher les données d’autres applications et empêcher la désinstallation. Google l’a qualifiée d ‘ »application malveillante identifiée » et a exhorté les utilisateurs à désinstaller l’application Pinduoduo, mais le détaillant en ligne chinois a nié ces allégations. Selon l’analyse de Kevin Reed, responsable de la sécurité de l’information chez la société de cybersécurité Acronis, Pinduoduo demande jusqu’à 83 autorisations, y compris l’accès à la biométrie, au Bluetooth et aux informations sur les réseaux Wi-Fi. « Certaines de ces autorisations demandées par Pinduoduo semblent inattendues pour une application de commerce électronique », a déclaré Reed, qui a partagé son analyse des deux applications avec CNBC. « Mais Temu n’est pas aussi agressif que Pinduoduo qui demande toutes sortes de privilèges », a déclaré Reed. Pinduoduo est une application de commerce électronique basée en Chine qui vend de tout, des produits d’épicerie aux vêtements. C’est le produit phare de la société chinoise cotée au Nasdaq Fonds PDD qui possède également Temu. Le siège social de Temu est situé à Boston.

Pinduoduo est beaucoup plus agressif dans la collecte des informations des utilisateurs et les transfère évidemment à l’entreprise. Kévin Roseau directeur de la sécurité de l’information, Acronis

« Il ne devrait pas être nécessaire de stocker des données biométriques sur un site Web ou une application de commerce électronique. Personnellement, je ne voudrais pas que mes données biométriques soient stockées ailleurs que sur mon appareil », a déclaré Sean Duca, vice-président et chef régional. responsable de la sécurité pour l’Asie-Pacifique et le Japon chez la société de cybersécurité Palo Alto Networks. « La biométrie a beaucoup plus de valeur que toute autre chose, car je ne peux pas du tout changer mon empreinte digitale, contrairement aux mots de passe », a déclaré Duca. Il a également demandé pourquoi l’accès aux informations Wi-Fi était nécessaire. Si c’est au Wi-Fi d’entreprise que l’utilisateur est connecté, il « deviendra une cible très lucrative pour les cybercriminels où ils commenceront à avoir accès à ces informations », a averti Duca. « Mais pourquoi un fournisseur de commerce électronique a-t-il réellement besoin de cela ? »

Que fait Temu ?

Temu, surnommé un imitateur de la marque de fast-fashion Shein, prend d’assaut le marché américain. À peine 17 jours après son lancement en septembre, l’application a dépassé Instagram, WhatsApp, Snapchat et Shein sur l’App Store d’Apple aux États-Unis, selon les données d’Apptopia partagées avec CNBC. Il a été lancé au Royaume-Uni en mars, quelques semaines seulement après son entrée en Australie et en Nouvelle-Zélande. Le fait que Pinduoduo « ait demandé encore plus d’autorisations que l’application Temu, même s’il semble qu’il s’agisse d’applications similaires, me semble trop intrusif », a déclaré Reed. « Pinduoduo est beaucoup plus agressif dans la collecte des informations des utilisateurs », a déclaré Reed qui a affirmé que les données étaient « évidemment [transferred] retour à l’entreprise. » PDD Holdings n’a pas répondu à la demande de commentaires de CNBC concernant ces autorisations. En comparaison, l’application Temu demande 24 autorisations, a déclaré Reed. Certaines de ces autorisations incluent l’accès au Bluetooth et des informations sur les réseaux Wi-Fi.

Je suis moins préoccupé par les applications de shopping que par les plateformes de médias sociaux comme TikTok et Lemon8. Lindsay Gorman Chercheur principal pour les technologies émergentes, German Marshall Fund

« Il n’y a eu aucun rapport sur la fonctionnalité malveillante présente dans les versions officielles de Play, App Store ou tierces de Temu. Les clés utilisées pour signer le malware Pinduoduo ne sont pas les mêmes clés que celles utilisées pour signer l’application Temu », a déclaré Daniel Thanos, vice-président et directeur d’Arctic Wolf Labs, la branche de renseignement sur les menaces de la société de cybersécurité Arctic Wolf. « Sur la base de notre analyse, il semble que ce malware cible principalement les utilisateurs chinois, car il semble cibler les appareils généralement vendus et utilisés en Chine tels que Xiaomi, Vivo, Oppo, Samsung, etc., et leurs applications correspondantes », a déclaré Thanos. PDD Holdings n’a pas immédiatement répondu à la demande de commentaires de CNBC.

Risques liés aux données

Dans un reportage sur les plateformes chinoises de « fast fashion » publié en avril, la Commission d’examen économique et de sécurité américano-chinoise a accusé Temu et Shein de poser d’éventuels risques pour les données. Shein et Temu « s’appuient principalement sur le téléchargement et l’utilisation d’applications chinoises par les consommateurs américains pour organiser et livrer des produits », indique le rapport. « Le succès commercial de ces entreprises a encouragé à la fois les plateformes de commerce électronique chinoises établies et les startups à copier son modèle, ce qui pose des risques et des défis aux réglementations, lois et principes d’accès au marché américains », a-t-il déclaré. Les applications appartenant à des Chinois font l’objet d’un examen minutieux aux États-Unis pour des raisons de sécurité. Les législateurs américains ont averti que toutes les applications appartenant à des Chinois pourraient être vulnérables aux violations de la confidentialité des données ou aux interférences du gouvernement chinois. Alors que les politiciens accusent souvent les entreprises chinoises de transmettre des données au gouvernement chinois, il n’y a aucune preuve pour étayer ces affirmations. « Mais il y a aussi un jeu plus important ici, c’est-à-dire que de nombreuses autres applications dont on ne parle pas collectent également des informations et le font depuis très longtemps », a déclaré Duca, notant qu’il s’agit davantage d’un problème systémique.

En savoir plus sur la technologie et la crypto de CNBC Pro

Un analyste a dit qu’elle était moins préoccupé par les applications d’achat que les plateformes de médias sociaux telles que TikTok et son application sœur Lemon8. « Du point de vue de la sécurité nationale, en plus de créer des profils d’utilisateurs avec toutes ces données, les plateformes de médias sociaux ont également la possibilité de sélectionner, de promouvoir et de rétrograder du contenu basé sur des mesures opaques sur lesquelles nous n’avons finalement pas vraiment d’aperçu », a déclaré Lindsay Gorman, chercheur principal pour les technologies émergentes au German Marshall Fund. Pour les applications d’achat, la « vraie sorte d’influence sur le contenu » peut être les entreprises chinoises faisant la promotion de leurs produits qui « semblent moins menacer la démocratie », a déclaré Gorman. Au lieu de cela, les applications de médias sociaux pourraient promouvoir du contenu sur des sujets politiques qui sont beaucoup plus difficiles à suivre, a-t-elle déclaré. TikTok fait face à une éventuelle interdiction aux États-Unis après le témoignage de son PDG Shou Zi Chew devant le Congrès, qui n’a pas réussi à apaiser les inquiétudes des législateurs concernant les liens de l’application avec la Chine ou l’adéquation du projet Texas, son projet de stocker des données américaines sur le sol américain. « ByteDance n’est ni détenue ni contrôlée par le gouvernement chinois. C’est une société privée », a déclaré Chew lors de l’audience.