Le site de vente Temu serait-il un logiciel espion ?

Devenue plus populaire sur les boutiques d’applications mobiles nord-américaines que ses rivales Amazon, Walmart ou Shein, l’application chinoise Temu serait « un logiciel espion » très menaçant et « habilement déguisé » en une boutique en ligne bon marché, estime la société d’analyse financière Grizzly Research dans un rapport accablant sur Pinduoduo (PDD), la société mère de Temu.

L’application de vente en ligne la plus téléchargée

Temu est une boutique en ligne qui propose des produits à des prix fortement concurrentiels, parfois au cinquième du prix de base. Ces articles sont essentiellement fabriqués en Chine et vendus uniquement dans des pays occidentaux. Bien que Temu se présente comme une entreprise américaine basée à Boston, sa société mère est une entreprise chinoise qui œuvre à partir de Shanghai.

Lancée aux États-Unis l’hiver dernier, puis accessible au Canada au printemps 2023, l’application Temu a rapidement atteint la première place des palmarès canadien et américain des applications mobiles les plus téléchargées. Plus de 100 millions de personnes en Amérique du Nord et en Europe l’auraient installée sur leur téléphone intelligent ou leur ordinateur au cours des neuf derniers mois.

Une entreprise frauduleuse ?

« Nous croyons que PDD est une entreprise frauduleuse sans avenir et que son application d’achat en ligne Temu est un logiciel espion habilement camouflé, qui représente une menace grandissante pour la sécurité des intérêts nationaux des États-Unis », mentionne Grizzly Research dans un rapport de quelques dizaines de pages.

Pour appuyer ses dires, la société Grizzly présente notamment des bouts de code informatique tirés de l’application mobile et du site de Temu qui, selon elle, formeraient autant d’éléments incriminants sur l’entreprise et ses intentions.

La réaction des investisseurs à la Bourse de New York n’a pas tardé. L’action de Pinduoduo, cotée au Nasdaq (l’indice technologique de la Bourse de Wall Street), a reculé de 7 % dans la foulée de la publication du rapport de Grizzly Research.

Propriété chinoise, la boutique Temu n’est pas accessible à son marché intérieur. Son application mobile non plus. Cette incongruité n’est pas unique, puisque le réseau social TikTok est lui aussi disponible seulement à l’extérieur de la Chine, même s’il a été mis sur pied par une entreprise chinoise.

Le réseau social TikTok a également été accusé par ses détracteurs d’avoir été créé au profit d’une stratégie du gouvernement chinois visant à ralentir l’essor technologique des États-Unis.

À lire aussi : Amazon : comment reconnaître les faux commentaires

Données confidentielles à vendre ?

Grizzly Research attaque Temu et Pinduoduo sous l’angle du modèle d’affaires. « Les applications chinoises de magasinage bon marché ont déjà prouvé dans le passé que leur modèle d’affaires n’était tout simplement pas profitable », lit-on dans le rapport, qui cite les sites Wish, Shein ou TikTok comme exemples d’entreprises non rentables basées sur le même genre de modèle.

Dans le cas de Temu, Grizzly Research calcule que le site perdrait 30 $ US (40 $ CA) sur chaque transaction complétée par un utilisateur nord-américain. « Les coûts de livraison à eux seuls sont astronomiques, affirme le rapport. On ne peut que se demander comment cette entreprise pourra un jour être rentable. »

Or, sans jamais avoir dépensé un sou sur la plateforme commerciale Temu, certains consommateurs reçoivent de nombreux cadeaux par la poste pour avoir incité leurs contacts des réseaux sociaux à s’abonner en donnant leurs coordonnées.

Pourquoi vendre à perte ? La clé est cachée dans la mécanique de Temu. Car, une fois installée sur un téléphone, l’application récolte des données sur « à peu près tout ce que fait l’utilisateur avec son mobile », écrit Grizzly. Temu fonctionne de la même façon que le faisait à ses débuts l’application Pinduoduo, que Google a dû bloquer dans sa boutique d’applications Play Store.

Pinduoduo a retiré les éléments les plus inquiétants de son application avant de réapparaître dans le Play Store, mais ne l’aurait pas fait dans l’application Temu.

Les données des clients, en partie confidentielles, sont récoltées par Temu, qui les revend ensuite à des tiers. C’est le moyen qu’utilise Pinduoduo pour rentabiliser son application de magasinage en ligne. Une pratique facilitée par le fait que les états financiers publiés tous les trois mois par la société mère de Temu ressemblent à « une boîte noire » opaque, décrit Grizzly Research.

Cette entreprise financière n’est pas la seule à s’inquiéter de l’usage que Temu fait de vos données. « Pendant que vous magasinez, Temu surveille votre activité sur d’autres applications, suit vos notifications et votre emplacement, et modifie les paramètres, écrivait en avril dernier l’expert en cybersécurité Kim Komando, dans le USA Today. Temu bénéficie d’un accès complet à tous vos contacts, calendriers et albums photo, ainsi qu’à tous vos comptes de réseaux sociaux, discussions et SMS. En d’autres termes, littéralement tout sur votre téléphone. »

Le site de vérification des faits Snopes s’inquiète lui aussi de l’usage des données. Selon le rapport d’activité 2022 de PDD, près de 80 % des revenus du holding provenaient de la vente de services publicitaires à son réseau de commerçants et non de la vente de produits. « Pinduoduo et Temu collectent de grandes quantités de données Google et d’autres utilisateurs pour fournir des services publicitaires extrêmement ciblés à leurs commerçants », explique Snopes.

Des critiques sérieuses, selon un expert du Québec

Si les pratiques commerciales de Pinduoduo semblent nébuleuses, on ne peut pas dire que Grizzly Research soit, de son côté, un exemple de transparence. Cette société financière appartient à un entrepreneur, nommé Siegfried G. Eggert, diplômé de l’Université de Pékin. Il s’agit d’un « vendeur à découvert » (selon le jargon de la finance), qui spécule sur des sociétés cotées en Bourse en s’attaquant à elles pour faire baisser leur valeur boursière et tirer profit de leur chute financière.

Steve Waterhouse, consultant en cybersécurité au Québec et ancien directeur de la sécurité informatique au sein du gouvernement du Québec, accorde cependant une certaine crédibilité à ce qu’avance Grizzly Research à propos de Temu.

« Le modèle de vente à perte est conçu expressément pour maximiser la collecte d’information sur les utilisateurs, dit l’expert québécois. Les observations apportées dans ce rapport reflètent la réalité de cette application. »

Steve Waterhouse n’est pas surpris que Temu ne soit pas disponible en Chine : la récolte de données faite par cette application cible spécifiquement les internautes occidentaux.

Temu n’est pas la seule application chinoise de magasinage en ligne dont les pratiques inquiètent les experts. Un comité fédéral américain formé pour étudier les relations commerciales entre la Chine et les États-Unis concluait, le printemps dernier, que « les sites chinois de ‟mode express” (fast fashion), comme Shein, représentent un risque pour les données numériques des internautes nord-américains ».

À lire aussi : Loi 25 sur la protection des données : serez-vous mieux protégé ?