Le 17 mars dernier, la CNIL a annoncé l’ouverture d’une instruction, afin de vérifier la conformité du réseau social Clubhouse au RGPD. Cette décision fait suite à plusieurs plaintes remettant en cause leur gestion des données, ainsi qu’à une pétition de plus de 10 000 signatures qui circule actuellement.

Satnam Narang, Principal Research Engineer chez Tenable, propose une analyse de ce nouveau réseau social et des méthodes des attaquants pour arnaquer les utilisateurs :

« En février 2021, l’application sociale Clubhouse a dépassé les 8 millions de téléchargements sur les terminaux iOS – sur lesquels elle est uniquement disponible actuellement. Historiquement, nous avons pu constater que lorsqu'une application gagne en popularité auprès des utilisateurs, les escrocs l’identifient rapidement et trouvent un moyen d’en tirer parti, que ce soit Facebook, Twitter, Instagram, Snapchat, Tinder ou TikTok. Clubhouse offre aux attaquants autant de défis que d’opportunités.

Par exemple, l'application étant pilotée par la voix, il n'y a aucun moyen d’interagir avec les utilisateurs, afin de leur transmettre des liens frauduleux ; ce qui est souvent la méthode plébiscitée par les cybercriminels. Clubhouse permet aux utilisateurs de promouvoir des profils sociaux pour Instagram et Twitter, ce qui s’avère être le moyen le plus efficace de les diriger vers des sites malveillants.

Par exemple, nos recherches sur TikTok, il y a quelques années, ont révélé que lorsque les attaquants faisaient la promotion d'escroqueries de sites de rencontres, ils demandaient aux utilisateurs de les ajouter sur Snapchat afin de les retirer ensuite de la plateforme.

Il a été rapporté que des salles de discussion Clubhouse ont été créées pour promouvoir des projets d'enrichissement rapide ou de fausses offres de coaching. Elles conduisent les utilisateurs hors de Clubhouse, vers des profils sociaux créés afin de valoriser ces prétendues opportunités. Ces faux profils ne sont semble-t-il pas supprimés avant que les utilisateurs aient effectué le paiement demandé, rendant ce type d'escroquerie extrêmement lucratif.

Par ailleurs, un problème d'usurpation d'identité qui menace déjà d'autres plateformes a aussi commencé à émerger sur Clubhouse. Après qu'Elon Musk a rejoint Clubhouse, quelques faux profils à son nom sont apparus sur le réseau social. Des utilisateurs ont également indiqué avoir vu dans les salles d'autres personnalités notables qui ne sont pourtant pas inscrites sur Clubhouse.

Il ne fait bien sûr aucun doute que l'application Clubhouse est analysée par des chercheurs en sécurité afin de détecter d'éventuelles failles. Il est d’ailleurs ressorti que des utilisateurs avaient pu espionner des salles de discussion mais aussi créer des versions Android non-officielles, en attendant la disponibilité de Clubhouse sur d’autres systèmes d’exploitation.

Cependant, ces versions non-officielles pour Android sont, elles aussi, propices aux abus. Avec la possibilité de charger des applications sur les terminaux Android, les cybercriminels peuvent ainsi créer de fausses versions de Clubhouse qui effectuent des actions malveillantes sur les appareils des utilisateurs et peuvent potentiellement entraîner des dommages financiers. »