Le chercheur allemand en sécurité Mike Kuketz a découvert sept trackers dans l’application LastPass Android, un gestionnaire de mots de passe qui compte plus de 10 millions d’installations dans le seul Google Play Store.

Les trackers impliqués étaient:

• AppsFlyer
• Google Analytics
• Google CrashLytics
• Google Firebase Analytics
• Google Tag Manager
• MixPixel
• Segment

Les trackers sont désormais attendus dans certaines applications, à savoir les médias sociaux et les points de vente en ligne. Les chercheurs notent que l’inclusion de trackers dans une application de coffre-fort de mots de passe semble insidieuse.

Kuketz souligne qu’immédiatement après le lancement de LastPass sur Android, six des sept applications de suivi s’activent avant même que l’utilisateur n’interagisse avec l’application. Il souligne également qu’à aucun moment l’utilisateur n’est demandé s’il accepte ou non que ses données soient transmises aux fournisseurs tiers.

Au cours de son test, Kuketz a découvert que l’application suit quel appareil l’utilisateur utilise, si l’application est utilisée gratuitement ou dans le cadre d’un abonnement et si l’utilisateur préfère utiliser un verrou biométrique.

La version Android de LastPass continue également de suivre les utilisateurs lorsqu’ils utilisent l’application. Bien que les trackers ne reçoivent pas de contenu sensible, comme les mots de passe eux-mêmes, ils suivent presque tout le reste.

Les données suivies incluent la création d’un mot de passe, le type de compte créé par l’utilisateur, comme un profil de réseau social par rapport à un compte bancaire ou de carte de crédit, l’adresse IP d’un utilisateur, l’emplacement actuel de l’utilisateur, etc. Il n’y a aucun moyen de s’opposer à ce suivi ou de s’en désinscrire – un utilisateur devra désinstaller pour empêcher un suivi ultérieur.

Dans un poste de suivi, Kuketz a partagé l’interaction d’un lecteur avec le support LastPass, qui a nié avec véhémence – à deux reprises – que l’application disposait de trackers.

Bien qu’aucun tracker n’ait été confirmé dans le iOS ou macOS versions de LastPass, un aperçu de la version bêta d’iOS « étiquette nutritionnelle« laisse entendre que ce n’est pas non plus hors du domaine des possibilités.

Plus précisément, le Appli LastPass pour iOS suit l’emplacement des utilisateurs, les données d’utilisation, les informations de contact et certains contenus utilisateur, qui pourraient tous être rassemblés et vendus à des annonceurs qui pourraient ensuite utiliser les informations pour cibler les utilisateurs avec des publicités.

Le registre fait remarquer que LastPass n’est pas le seul gestionnaire de mots de passe à disposer de trackers. Bitwarden et Dashlane contiennent tous deux des trackers, respectivement deux et quatre. Cependant, le rival de LastPass 1Password et le KeePass open source ne disposent pas du tout de trackers.

Un porte-parole de LastPass a reconnu Le registre que tant que les trackers existent, aucune donnée d’utilisateur personnellement identifiable ou activité de mot de passe n’est transmise par les trackers. Ils ont affirmé que les trackers ne collectent que des données statistiques agrégées limitées qui sont utilisées pour améliorer le produit.

L’information arrive à un moment particulièrement malheureux, car LastPass a récemment introduit des limites sur les comptes de niveau gratuit, en les limitant aux ordinateurs ou aux appareils mobiles. De plus, l’assistance par e-mail prend fin pour les membres du service gratuit après le 17 mars. De nombreux utilisateurs ont menacé de quitter le service après le changement.