Définition Pinduoduo
Les applications e-commerce dédiées au shopping comptent parmi les plus installées sur les téléphones. Lorsqu’un site comme Temu connaît le succès grâce à des prix attractifs, le revers de la médaille est moins rutilant pour les utilisateurs. En 2023, des experts de la cybersécurité découvrent que l’application Pinduoduo diffuse un malware capable de prendre le contrôle du téléphone et d’accéder à toutes vos données en toute impunité. La fast fashion n’a pas uniquement un impact négatif sur l’environnement : elle est aussi cybercriminelle.
Qui est le géant chinois de l’e-commerce Pinduoduo ?
Pinduoduo est une entreprise de e-commerce fondée en 2015 par Colin Huang. Son mode de fonctionnement repose sur l’achat de groupe pour que les clients puissent profiter de prix attractifs sur les produits. Ce modèle connaît une forte croissance en Chine au point de devenir un acteur incontournable du e-commerce en Chine, au même titre qu’Alibaba.
Si Pinduoduo n’est pas très connu en France, Temu l’est en revanche beaucoup plus. Cette autre plateforme e-commerce appartient à la société mère de Pinduoduo, à savoir PDD Holdings. Temu a été lancée pour viser les consommateurs européens et américains. L’application Pinduoduo cible quant à elle le marché chinois. Ces deux géants de l’e-commerce chinois partagent des politiques similaires quant aux prix et l’accès des produits.
Les risques de la cybersécurité identifiés du groupe Pinduoduo
En 2023, des experts en cybersécurité, notamment Kapersky et Dark Navy (agence de cybersécurité chinoise), découvrent un logiciel malveillant au sein de l’application. La réaction de Google est rapide : Pinduoduo est supprimée du Play Store.
Un logiciel malveillant ciblant les appareils Android
Un malware a en effet été découvert au sein de l’application Pinduoduo, exploitant les failles de sécurité Android. Les appareils des marques Samsung, Huawai et Xiami auraient été les plus impactés. Ce logiciel malveillant était capable de surveiller l’ensemble de votre activité sur téléphone et d’accéder à vos données.
Le mode de fonctionnement du malware était sophistiqué. Lancé en arrière-plan, il était à la fois difficile à détecter et impossible à supprimer. Le logiciel utilisait des noms de fichiers légitimes Google pour fonctionner sur les appareils Android.
Une collecte de données pour espionner les consommateurs
D’après une enquête réalisée par CNN, la diffusion de ce malware a démarré alors que l’acteur e-commerce était en perte de vitesse en Chine. Une équipe interne aurait spécialement conçu le logiciel pour rechercher et exploiter les failles de sécurité Android. Pour éviter la découverte de ce logiciel espion, l’équipe a déployé son malware auprès des consommateurs des petites villes rurales. L’objectif était de viser des utilisateurs moins sensibilisés aux questions de cybersécurité.
L’objectif du malware de l’application Pinduoduo : rebooster les ventes e-commerce
L’objectif de la manœuvre était d’espionner les utilisateurs en collectant toutes les données possibles. Il s’agissait notamment de récolter des informations sur les visites et types de produits commandés auprès des concurrents. En exploitant ces données, les équipes d’ingénieurs pouvaient alors diffuser des publicités plus ciblées. L’objectif était de proposer des produits plus pertinents adaptés aux centres d’intérêt des clients afin de relancer les ventes. Le déploiement du malware est survenu où la plateforme était en perte de vitesse.
La société chinoise de cybersécurité Dark Navy a enquêté sur les agissements des ingénieurs Pinduoduo dont l’équipe a été dissoute après la découverte du piratage.
Pinduoduo a-t-il négligé la sécurité des données ?
La collecte des données à l’insu des utilisateurs a toujours été réfutée par PDD Holdings. Néanmoins, nombreux sont les experts en cybersécurité à avoir mis en avant la présence du malware. Pinduoduo a eu en sa possession des données utilisateurs récoltées illégalement à des fins lucratives. La sécurité, la confidentialité et le respect de la vie personnelle des clients de la plateforme n’ont pas été pris en considération. La plateforme n’a pas non plus respecté la réglementation chinoise en matière de données personnelles.
Quel impact a eu le scandale du malware Pinduoduo sur les utilisateurs et sur l’entreprise ?
L’application Pinduoduo n’est plus accessible sur le Play Store de Google. Vous disposez, sur Android et iOS, de la version chinoise. De nombreuses préoccupations sur la sécurité des données et la confidentialité des informations sont nées auprès des clients. La confiance des utilisateurs en l’application est donc quelque peu ternie, mais l’entreprise continue d’exister. En Chine, la plateforme séduit toujours par ses prix attractifs et son modèle d’achat groupé.
Comme pour Shein, Pinduoduo est aussi controversé pour la qualité des produits et les conditions de travail des employés. La plateforme e-commerce continue son activité. Sa réputation est néanmoins entachée de problèmes éthiques et de pratiques commerciales douteuses.
Les réglementations de cybersécurité en Chine en matière de protection des données
La Chine a développé une série de réglementations autour de la cybersécurité, notamment en matière de protection des données personnelles. Le gouvernement a mis en place successivement des lois encadrant la cybersécurité, dont la Personal Information Protection Law (PIPL) en 2021 qui pourrait s’apparenter, sur quelques principes, au RGPD européen.
La réglementation stipule que toutes les entreprises doivent réduire au minimum la collecte de données. Le consentement des utilisateurs doit être obtenu de manière claire et précise. Un consommateur doit donner son accord pour que ses données soient collectées.
Les entreprises privées et publiques, comme Pinduoduo, doivent donc se soumettre à cette loi sur la protection des données. Un non-respect implique des sanctions financières et des risques d’arrêt de l’activité.
Quelles sont les implications réglementaires exigées à l’application Pinduoduo ?
Selon la réglementation en vigueur depuis 2021, Pinduoduo n’avait pas le droit de collecter des données de ses clients sans leur autorisation. L’usage d’un malware d’espionnage s’apparente à une attaque cybercriminelle. La controverse du scandale du malware n’ayant pas abouti à des actions judiciaires, Pinduoduo continue d’exercer son activité.
Les obligations des entreprises chinoises face à la réglementation
La loi sur la protection des données impose cependant aux entreprises comme Pinduoduo, de :
- demander l’autorisation aux citoyens pour la collecte de leurs informations personnelles ;
- ne plus utiliser d’algorithmes pour adapter le prix des produits en fonction de données collectées sur le client ;
- assurer la protection des données en effectuant des audits de sécurité sur les systèmes ;
- nommer un responsable du traitement des données au sein de chaque entreprise.
Les sanctions possibles du non-respect de la réglementation chinoise sur le traitement des données
Les sanctions, en Chine, sont multiples en cas de non-respect de la réglementation sur le traitement des données. Elles sont d’ordre financier. Le montant de l’amende peut aller jusqu’à 5 % du chiffre d’affaires. L’entreprise peut également avoir à verser 50 millions de Yuans. Selon la gravité du délit et du manquement à la sécurité des données, l’entreprise peut être fermée temporairement ou définitivement.
Quelles leçons en tirer en matière de cybersécurité ?
De nombreuses leçons peuvent être tirées de ce scandale du malware diffusé par Pinduoduo. Dans un premier temps, des questions se posent quant à l’application Temu, déjà citée plusieurs fois sur des collectes de données controversées. La dernière est survenue cette année, Temu ayant proposé de l’argent à ses clients en échange d’informations personnelles. Il est donc nécessaire de sensibiliser les consommateurs aux pratiques de ces sites e-commerce afin d’assurer la protection de leurs données. Pour lutter contre ces pratiques malveillantes, les sanctions significatives peuvent décourager les entreprises à perpétrer ce genre d’attaque. Par ailleurs, il convient de rappeler à tous les utilisateurs de téléphone Android et iOS, d’effectuer les mises à jour de sécurité. La réactivité de Google à supprimer l’application de son Play Store rassure quant à leur vigilance sur la sécurité des utilisateurs.
Pinduoduo est-il le seul à user de ces pratiques malveillantes à des fins commerciales ? La vigilance des autorités, mais aussi des experts en cybersécurité, est l’une des seules protections qui peuvent garantir la sécurité des données sur ces applications. Aux consommateurs également de prendre en considération l’ensemble des nombreuses controverses sur ces acteurs e-commerce peu éthiques.