LinkedIn collectait les données des calendriers iOS et Android

LinkedIn a modifié ses apps mobiles pour Android et iOS afin que celles-ci ne transfèrent plus vers ses serveurs des données de l'agenda quand la fonction d'intégration est activée.

LinkedIn a confirmé que la fonction d'intégration de ses applications mobiles impliquait le renvoi, vers les serveurs du réseau social, de détails sur les réunions à venir inscrites dans l'agenda des abonnés. Le service a mis à jour ces applications afin de limiter la nature des données récoltées. En avril dernier, LinkedIn avait ajouté une fonction à ses applications mobiles pour iOS et Android qui permettaient, à partir d'éléments contenus dans la description de l'événement, d'identifier les profils LinkedIn de personnes avec lesquelles l'utilisateur de l'application avait programmé une date de réunion.

Des chercheurs du fournisseur de solutions de sécurité Skycure Security avaient analysé la manière dont fonctionnait le système et avait constaté que l'app iOS de LinkedIn ne se contentait pas d'examiner, localement sur le périphérique, les détails d'une réunion inscrite dans l'agenda, mais qu'elle envoyait effectivement des informations aux serveurs du réseau professionnel.

Des données sensibles collectées 

Cette fonction expose gravement la confidentialité de la vie privée parce que certains renseignements recueillis peuvent être très sensibles. « Par exemple, il n'est pas rare que ces notes de réunion comportent les numéros d'appel et les codes d'accès à une conference-call », a déclaré dans un blog Yair Amit, co-fondateur et PDG de Skycure.

« Afin de mettre en oeuvre une fonction très appréciée de synchronisation entre les personnes qui ont des réunions ensemble et leur profil LinkedIn, tout ce dont LinkedIn à besoin, ce sont les identifiants uniques des personnes qui participent au meeting, et non pas les détails sur les réunions programmées », a fait valoir Yair Amit. « Des informations sur la date et l'heure des réunions, le lieu, son intitulé ou les notes qui y sont reliées, lesquelles peuvent comporter des informations sensibles, en particulier pour les entreprises, ne sont pas utiles pour l'objectif défini ».

En outre, l'application LinkedIn ne fournit pas de notification claire aux utilisateurs pour les informer notamment que des détails sur l'événement inscrit dans leur agenda sont extraits de leurs terminaux. « C'est peut-être une violation des directives de confidentialité d'Apple, qui stipule que les applications ne peuvent transmettre des données utilisateur sans avoir obtenu leur consentement et qu'elles doivent fournir des informations aux utilisateurs sur la manière et le cadre dans lequel ces données seront utilisées », a ajouté le PDG de Skycure Security.

Une option activée par défaut

Joff Redfern, chef des produits mobiles chez LinkedIn, a confirmé que les applications mobiles envoyaient les détails complets sur les réunions, depuis les calendriers des utilisateurs vers les serveurs du réseau, si l'utilisateur a opté pour la fonction. « Cette information est utilisée pour rendre l'algorithme de profilage de LinkedIn plus intelligent », a déclaré pour sa part Joff Redfern dans un blog. « Ces données du calendrier sont envoyées aux serveurs de LinkedIn en mode Secure Socket Layer (SSL), mais elles ne sont pas stockées sur les serveurs et ne sont pas utilisées à d'autres fins que l'appariement des profils », a affirmé le chef des produits mobiles.

Les préoccupations soulevées par les chercheurs de Skycure au sujet de la vie privée ont incité LinkedIn a mettre fin à cette collecte de notes dans le calendrier. Les applications mobiles comportent aussi un onglet supplémentaire « en savoir plus » qui fournit des informations détaillées sur la façon dont les données du calendrier sont utilisées. « Ces modifications sont actives dans la version Android de l'application et elles ont été soumises à l'Apple Store. Elles seront donc disponibles sous peu dans la version pour iOS», a déclaré Joff Redfern.

Les utilisateurs qui ont déjà activé la fonction d'intégration, mais qui ne souhaitent plus partager les détails de leur calendrier avec LinkedIn, peuvent désactiver la fonction à partir des paramètres de l'application. Joff Redfern a confirmé également que « la fonction d'intégration resterait optionnelle ».