L'Arkansas a poursuivi les créateurs de la plateforme de commerce électronique Temu pour des pratiques commerciales trompeuses présumées. L’État affirme que l’application d’achat est un « malware dangereux » qui abuse des autorisations du système pour voler les données des utilisateurs. Le procès soulève également des problèmes de sécurité quant à l'origine chinoise de la plateforme.
Temu est un malware déguisé en application de shopping, selon un procès en Arkansas
Lancée aux États-Unis en 2022, Temu est une plateforme d'achat en ligne appartenant à PDD Holdings. À l'origine une société chinoise, PDD Holdings a transféré son siège social en Irlande l'année dernière. La société gère également une application d'achat distincte appelée Pinduoduo en Chine, que les chercheurs en sécurité avaient précédemment qualifiée de logiciel espion potentiel. En mars 2023, Google a brièvement supprimé ce dernier du Play Store après que certaines de ses « versions off-Play » se soient révélées contenir des logiciels malveillants.
Dans sa plainte officielle, le procureur général de l'Arkansas, Tim Griffin, a lié les deux applications. Étant donné que Temu est arrivé plusieurs années après Pinduoduo et a fait ses débuts mondiaux aux États-Unis, Griffin pense qu'il a été calqué sur sa version chinoise et qu'il pourrait présenter les mêmes failles de sécurité. « Temu prétend être une plateforme d'achat en ligne, mais il s'agit d'un malware dangereux, qui s'accorde subrepticement l'accès à pratiquement toutes les données du téléphone portable d'un utilisateur », commence le procès.
Le procureur général de l'Arkansas a également fait état de préoccupations d'Apple concernant la conformité de l'application aux normes de transparence en matière de sécurité des données aux États-Unis et en Europe. Griffin a également affirmé que Temu vendait les données des utilisateurs à des tiers pour gagner de l'argent, violant ainsi les droits à la vie privée des citoyens de l'Arkansas.
De plus, le procès de Griffin cite les conclusions d'un cabinet de recherche indépendant selon lesquelles Temu peut potentiellement pirater les utilisateurs. Le nombre d'autorisations système et la quantité de données auxquelles elle peut accéder sont trop élevés pour une application d'achat. Il « détourne » les autorisations pour accéder à l'emplacement de l'utilisateur, aux fichiers enregistrés, au périphérique de stockage, etc., qui ne sont pas essentiels à son fonctionnement normal. Temu collecte également des informations sensibles ou personnellement identifiables dont elle n'a pas besoin.
Les liens de Temu avec la Chine constituent une menace pour la sécurité
Le procès de l'Arkansas contre Temu va au-delà de son étiquetage de « logiciel malveillant » et soulève des problèmes de sécurité concernant les liens de l'application avec la Chine. Griffin affirme que l'équipe dirigeante de Temu est « un cadre d'anciens responsables du Parti communiste chinois ». En tant que telle, la plateforme constitue une menace importante pour la sécurité des citoyens américains. Ce procès vise à obtenir une ordonnance interdisant les pratiques commerciales trompeuses et les violations de la vie privée de la plateforme. Il demande également des sanctions civiles et d’autres mesures pécuniaires et équitables.
« Temu n'est pas un marché en ligne comme Amazon ou Walmart. Il s’agit d’une entreprise de vol de données qui vend des biens en ligne pour parvenir à ses fins », a déclaré Griffin dans un communiqué officiel. « Bien qu’il soit connu comme une plate-forme de commerce électronique, Temu est fonctionnellement un malware et un logiciel espion. Il est délibérément conçu pour obtenir un accès illimité au système d'exploitation du téléphone d'un utilisateur. Il peut remplacer les paramètres de confidentialité des données sur les appareils des utilisateurs et monétiser cette collecte non autorisée de données.