Getty Images
Venmo, le service de paiement mobile populaire, a repensé son application. C’est normalement une nouvelle que vous pouvez ignorer en toute sécurité, mais cette annonce mérite d’être examinée de plus près. En plus d’apporter quelques modifications à la navigation et d’ajouter de nouvelles protections d’achat, la plate-forme appartenant à PayPal ferme enfin son flux social mondial, où l’application publiait les transactions de personnes du monde entier. C’est une étape importante vers la résolution de l’un des problèmes de confidentialité les plus importants dans le monde des applications, mais le travail n’est pas encore terminé.
Le flux mondial de Venmo est depuis des années une source d’informations voyeuristes sur les habitudes financières de parfaits inconnus. Le flux n’affiche pas les montants pour une transaction donnée, mais les noms et notes emoji et likes sont inclus. Taper sur un nom vous amène au profil de cet utilisateur, et un entreprenant entreprenant (ou pire) pourrait assez rapidement créer un petit dossier des amis de cette personne, de ses passe-temps et de tout ce qu’il a glissé dans le flux – sans peut-être s’en rendre compte à quel point cette information peut être publique. Pendant le temps qu’il a fallu pour écrire ces paragraphes, des proches se sont remboursés les billets des Phillies, quelqu’un a effectué un paiement pour « de l’or liquide 😍 », plus d’un groupe de colocataires a divisé leur facture Internet.
La visibilité des transactions Venmo et des autres données des utilisateurs est critiquée depuis des années par les défenseurs de la vie privée et des consommateurs. « Cet engagement envers cet étrange morceau d’entreprise, cet ADN d’entreprise, d’une application de paiement social est un énorme handicap », a déclaré Gennie Gebhart, directrice de l’activisme à l’Electronic Frontier Foundation, un groupe de droits numériques. « Ce n’est pas une catastrophe qui attend de se produire, c’est une catastrophe qui est déjà arrivée tant de fois à tant de gens. »
L’exemple le plus récent et le plus médiatisé d’où cette ouverture peut mal tourner s’est produit en mai, lorsqu’une équipe de Reporters Buzzfeed trouvés Le compte Venmo du président Joe Biden, ainsi que ceux de sa famille et de ses amis proches, simplement en effectuant une recherche dans l’application. Cela leur a pris 10 minutes.
À l’époque, même si l’historique de vos transactions était verrouillé, votre liste d’amis était un jeu équitable pour tout le monde. Ce qui, encore une fois, semble un peu imprudent pour une application construite autour de l’activité souvent sensible de l’envoi et de la réception d’argent. Deux semaines après le rapport Buzzfeed, cependant, Venmo a ajouté de nouveaux contrôles de confidentialité, vous permettant de rendre votre liste de contacts sur l’application privée pour la première fois.
La suppression du flux global étend ce travail en rendant de plus en plus difficile d’espionner de parfaits inconnus. Bientôt, l’élément social de l’application sera limité à ce que font vos contacts Venmo. « Ce changement permet aux clients de se connecter et de partager des moments et des expériences significatifs avec les personnes qui comptent le plus », a déclaré la société dans un blog. Publier annonçant la refonte. Bien que cela compte certainement comme un progrès, les défenseurs de la vie privée pensent que cela ne va pas assez loin.
« Venmo comprend enfin qu’une publicité maximale sur une application financière est une idée terrible », déclare Kaili Lambe, responsable de campagne à la Fondation Mozilla, une organisation à but non lucratif axée sur l’ouverture et l’accessibilité d’Internet. « Cependant, depuis le début, nous avons demandé à Venmo d’être privé par défaut, car de nombreux utilisateurs de Venmo ne savent pas réellement que leurs transactions sont publiques dans le monde. »
Après la refonte imminente de Venmo, le seul flux sera celui des transactions de votre liste d’amis. Venmo
Un porte-parole de Venmo a déclaré que la société n’envisageait pas pour le moment d’envisager de rendre ces transactions privées par défaut. Cela signifie que les utilisateurs devront toujours faire tout leur possible pour s’assurer que chaque transaction peer-to-peer n’est pas diffusée dans le monde. Il est difficile de voir l’avantage de maintenir le statu quo.
« Vous pensez à de nombreux cas d’utilisation très sensibles », explique Gebhart. « Vous pensez aux thérapeutes, vous pensez aux travailleuses du sexe. Vous pensez au président des États-Unis. Il ne faut pas beaucoup d’imagination pour imaginer des endroits où ces défauts pourraient mal tourner et causer de réels dommages à de vraies personnes. »
Les implications de la position publique par défaut de Venmo se sont déroulées au-delà de la découverte du compte de Biden. En 2018, le défenseur de la vie privée et designer Hang Do Thi Duc a utilisé l’API publique de Venmo pour trier près de 208 millions de transactions sur la plateforme, rassemblant de façon alarmante portraits détaillés de cinq utilisateurs en fonction uniquement de leur activité dans l’application. L’année suivante, le programmeur Dan Salmon a écrit un script Python de 20 lignes qui laissez-le gratter des millions de paiements Venmo en quelques semaines.
Venmo a depuis imposé des restrictions sur la vitesse à laquelle vous pouvez accéder aux données de transaction via l’API publique, mais Salmon dit que la société n’est pas allée assez loin. « Venmo avait essentiellement un firehose auquel je pouvais me connecter pour les données de transaction », dit-il. « Maintenant que cela est coupé, les transactions sont toujours là ; il faudra juste quelques pas de plus pour aller les chercher. Il dit qu’il faudrait environ une heure de travail pour construire un nouvel outil de grattage.
« Chez Venmo, nous évaluons régulièrement nos protocoles techniques dans le cadre de notre engagement envers la sécurité de la plate-forme et l’amélioration continue de l’expérience Venmo pour nos clients. Le grattage de Venmo est une violation de nos conditions d’utilisation, et nous travaillons activement pour limiter et bloquer les activités qui violent ces politiques », a écrit le porte-parole de Venmo, Jaymie Sinlao, dans un communiqué envoyé par courrier électronique. « Nous continuons à permettre un accès sélectif à nos API existantes pour que les développeurs approuvés continuent d’innover et de s’appuyer sur la plate-forme Venmo. »
Venmo est loin d’être la seule application qui vous fait refuser le partage plutôt que de le rechercher activement. Mais parce que son cas d’utilisation est exclusivement financier, les enjeux sont nettement plus élevés, et l’hypothèse de ses utilisateurs potentiellement mal placée. Venmo n’a pas permis aux utilisateurs de comprendre particulièrement facilement ce qu’ils partagent ou ne partagent pas ; en 2018, il est parvenu à un règlement avec les Commissions fédérales du commerce liées en partie à ses paramètres de confidentialité déroutants.
« Pour l’anecdote, les gens sont très surpris de constater qu’une application de services financiers est publique par défaut », déclare Lambe de la Fondation Mozilla. « Même les personnes qui utilisent Venmo depuis des années peuvent ne pas savoir que leurs paramètres sont publics. »
Pour vous assurer que le vôtre ne va pas de l’avant, accédez à Paramètres> Confidentialité et sélectionnez Privé. Ensuite, appuyez sur Transactions passées, puis sur Tout changer en privé pour verrouiller les choses de manière rétroactive. Et pendant que vous y êtes, allez-y et appuyez sur Liste d’amis, puis sur Privé et désactivez Apparaître dans la liste d’amis des autres utilisateurs. Sinon, vous partagez l’équivalent numérique de vos achats par carte de crédit avec tous ceux que vous connaissez, et beaucoup de gens que vous ne connaissez pas. Ou envisagez d’utiliser quelque chose comme Cash App de Square à la place, qui est privé par défaut.
La perte du flux mondial est une étape importante vers la confidentialité pour Venmo et ses utilisateurs. Espérons que d’autres étapes sont encore à venir.
Cette histoire est apparue à l’origine sur wired.com.
