ClubHouse pour Android : malware et arnaque en vue !

ClubHouse, le nouveau réseau social qui connait un succès retentissant ces dernières semaines fait actuellement l’objet d’une grosse tentative d’arnaque : un faux site propose une fausse version Android avec un vrai malware dedans.

Les utilisateurs Android en proie à une supercherie

ClubHouse est pour le moment disponible seulement pour les utilisateurs iOS mais des hackers ont récemment mis en place un faux site ayant pour but de récolter les données des utilisateurs qui souhaiteraient utiliser l’application sur Android. Le site en question est joinclubhouse.mobi. A ne pas confondre avec le véritable site joinclubhouse.com.

Lorsqu’une personne veut télécharger l’application pour Android et clique sur « Installer sur Google Play », un malware est immédiatement téléchargé. Baptisé BlackRock, ce dernier est capable de dérober les données des utilisateurs en affichant une fausse fenêtre d’authentification à l’application.

clubhouse android
Alerte de Firefox lors d’une tentative de connexion au faux site de ClubHouse

Ainsi, leurs identifiants, mots de passe et autres informations personnelles sont corrompues. ESET précise que BlackRock peut également dérober des données suite à une connexion à plus de 450 différents services en ligne mais aussi intercepter des messages SMS afin de passer outre l’authentification à deux facteurs. Encore une fois, prudence est donc de mise.

ClubHouse partage-t-elle les données personnelles des utilisateurs ?

ClubHouse est donc disponible pour l’heure uniquement sur iOS, ce qui ne l’empêche pas d’être dans la tourmente. Si son principe de fonctionnement permet à ses utilisateurs de converser via l’intermédiaire de salons audio appelés « rooms », il n’en demeure pas moins que sa capacité à protéger leurs données personnelles et la mise en place des règles de la RGPD sont remises en question.

En effet, plusieurs spécialistes en cybersécurité, la CNIL en tête pointent du doigt les lacunes de ClubHouse qui pour rappel, fonctionne sur un système d’invitation. Lorsqu’une personne reçoit une invitation par un membre, l’application à directement accès à tous ses contacts pour rechercher d’autres utilisateurs de Clubhouse.

Le problème c’est que de nombreux utilisateurs ont indiqué que leurs données avaient été partagées avec d’autres utilisateurs ClubHouse, sans que leur consentement ne soit donné. «Quelles sont les données exactes que Clubhouse extrait ou partage avec d’autres applications de médias sociaux ? Ce n’est pas clair.», affirme Jonathan Fischbein, le responsable de la sécurité de l’information chez Check Point Software.

Comme la majorité des applications de ce genre, Clubhouse permet également la création d’un compte en utilisant les autres applications telles que Facebook, Twitter et Instagram. Ce qui laisse donc présager une autre porte ouverte au partage de données personnelles non consenti.

Outre ce problème, une autre question inquiète la CNIL : l’enregistrement des conversations audio. ClubHouse affirme que les conversations audio ne sont pas conservées. Du moins pas indéfiniment et que les enregistrements permettent de modérer les propos, voire d’améliorer la qualité audio.

Cela dit, tout comme le partage des données des utilisateurs de ClubHouse, ces enregistrements violeraient les règles du RGPD puisqu’ils ne seraient pas fait avec le consentement express des utilisateur, comme le précise d’ailleurs Arnaud Lemaire, Solutions Engineering Manager chez F5 Networks : «Ceci est contraire au RGPD […] aucune conversation sur ce réseau social n’est privée et encore moins confidentielle».

Nous vous conseillons donc de patienter un peu si vous souhaitez rejoindre ClubHouse. L’application pourrait se mettre en conformité au regard des règles du RGPD. A contrario, la CNIL pourrait faire usage de ses propres pouvoirs répressifs en lui imposant une amende pouvant s’élever à 4% de son chiffre d’affaires soit 20 millions d’euros.

Et d’une manière générale, si vous voulez protéger votre smartphone et vos autres appareils, c’est toujours une bonne idée de s’équiper d’un VPN, ça ne vous protégera pas des virus ou des malwares, en revanche votre anonymat et vos données seront bien à l’abri. L’excellent CyberGhost est actuellement en promo à 2 €/mois, et pour les puristes amateurs de fiabilité Suisse ProtonVPN propose ses premières formules à 4 €/mois