L'Institut national suisse de cybersécurité, qui a mené une analyse approfondie de Temu, a révélé des pratiques de chiffrement inhabituelles sur l'application du géant chinois d'e-commerce. Elle a aussi nuancé certaines craintes sur la sécurité des données.

Temu, une application mobile pleine de paradoxes sécuritaires, selon les experts © Alexandre Boero / Clubic
Temu, une application mobile pleine de paradoxes sécuritaires, selon les experts © Alexandre Boero / Clubic

Temu est bien installé dans le paysage français mais aussi du côté de nos voisins suisse, où l'acteur du e-commerce a poussé l'Institut national local de cybersécurité (NTC) à se pencher sur son cas. L'agence a décidé de mener une analyse technique de l'application mobile de Temu, sur Android et iOS. Dans son rapport, elle révèle des inquiétudes sur la collecte des données et attire l'attention sur des méthodes de chiffrement peu conventionnelles.

Temu, une sécurité plutôt maîtrisée, même si le chiffrement pose question

L'analyse du NTC, menée entre le mois de septembre et novembre 2024 par une équipe de trois experts, s'est concentrée sur trois versions Android (2.95.0, 2.97.0 et 2.99.0) et une version iOS (2.97.0). Les tests ont d'ailleurs été réalisés sur différents appareils comme des Google Pixel 7a et 8a, Samsung Galaxy A13 ou iPhone 8. Ils ont permis d'évaluer les aspects sécuritaires de l'application.

Contrairement aux craintes exprimées dans d'autres rapports, notamment celui publié par Grizzly Research, l'étude suisse n'a identifié aucune vulnérabilité critique. Les permissions demandées par Temu s'avèrent même moins intrusives que celles d'applications concurrentes, comme Amazon, AliExpress ou Shein.

La transmission des données vers les serveurs présente en revanche des zones d'ombre, pour le NTC. Car si l'application utilise bien un chiffrement de type AES-CBC, le rapport révèle des couches supplémentaires de chiffrement inhabituelles.

Ces mesures, qui s'ajoutent au chiffrement TLS standard pour les communications avec les serveurs, pourraient certes renforcer la protection des données, mais elles soulèvent aussi des questions. En effet, l'étude indique qu'il n'a pas toujours été possible de déchiffrer et d'analyser les données transmises, ce qui rend difficile la vérification exhaustive des informations envoyées aux serveurs de Temu.

Des doutes sur la sécurité subsistent

Le rapport relate quelques détails intéressants. Par exemple, on apprend que l'authentification multi-facteurs, pourtant une recommandation cyber de base, ne reste qu'optionnelle lors de la création d'un compte Temu, ce qui pourrait exposer les utilisateurs à des risques de piratage. L'utilisation d'un service DNS propriétaire par l'application pourrait également permettre de contourner certaines restrictions réseau.

Un autre aspect touchant cette fois au cadre législatif interpelle les experts. Temu et sa société mère PDD, qui sont soumis à la loi chinoise, proposent des standards en matière de protection des données qui diffèrent significativement de ceux en vigueur en Suisse et dans l'UE. Encore une fois, cela peut faciliter potentiellement l'accès aux données par les autorités chinoises.

L'application utilise par ailleurs un interpréteur JavaScript propriétaire qui permet de charger du code dynamiquement. Bien qu'aucun usage malveillant n'ait été constaté, cette pratique est classée comme « risque élevé » par les professionnels, car elle pourrait théoriquement permettre des modifications du comportement de l'application.

Plusieurs recommandations faites à l'attention des utilisateurs de Temu

Le NTC formule quelques recommandations pratiques pour bénéficier d'une utilisation sécurisée de l'application. Il conseille notamment d'activer d'emblée l'authentification à deux facteurs, de n'accorder que les permissions strictement nécessaires sur son appareil, et de vérifier régulièrement les rapports de confidentialité du système d'exploitation.

Les utilisateurs dits sensibles comme les membres des forces armées ou les journalistes sont aussi appelés à faire preuve d'une vigilance particulière. Le rapport de l'institut suisse suggère aussi d'utiliser systématiquement les versions les plus récentes du système d'exploitation de son smartphone, pour bénéficier des dernières protections.

Ce que l'on peut donc dire, c'est que si l'analyse révèle des risques globalement maîtrisés et comparables à ceux d'autres applications d'e-commerce majeures, elle appelle néanmoins à maintenir une utilisation plus réfléchie de l'application Temu.