« Attrapez-les tous ! »... même les données des utilisateurs ! « Pokémon Go », le jeu pour smartphone qui fait un tabac depuis la semaine dernière, est « un énorme risque pour la sécurité », a avertiAdam Reeve, un informaticien spécialisé dans les questions de sécurité.
So @NianticLabs it seems _some_ Pokemon go installs are getting full access to linked google accounts. Any idea why?
— Adam Reeve (@adamreeve) 11 juillet 2016
« Eh bien Niantic [l’éditeur du jeu, ndlr], on dirait que certaines installations de “Pokémon Go” donnent un accès intégral aux comptes Google liés. Une idée de la raison ? »
Accès aux e-mails, aux fichiers...
Le jeu permet à ses utilisateurs soit de se créer un profil dans l’appli même, soit de s’identifier par leur compte Google (Niantic appartenait à Google jusqu’à fin 2015), mais sans préciser ce qu’ils laissent ainsi passer.
?
Pikachu dans des herbes hautes - Sadie Hernandez/Flickr/CC
Or, relève Adam Reeve, dans le second cas « Pokémon Go » peut quasiment tout faire :
Lire vos e-mails.
Vous en envoyer.
Accéder à votre Google Drive (qui permet de stocker des fichiers – que « Pokémon Go » peut supprimer !).
Lire vos historiques de recherche sur Google et Google Maps.
Et regarder vos photos.
« Enorme négligence »
L’informaticien observe :
« Bon, je ne crois évidemment pas que Niantic prépare un cambriolage mondial des données personnelles. C’est sans doute juste le résultat d’une énorme négligence. Mais je ne connais rien des politiques de sécurité de Niantic, je ne sais pas ce qu’ils vont faire de cette impressionnante puissance qu’ils se sont octroyés, et franchement je ne leur fais pas du tout confiance.
J’ai révoqué leur accès à mon compte et supprimé l’application. J’aimerais vraiment jouer, ça a l’air très amusant, mais ça ne vaut vraiment pas le risque. »
Les éditeurs du jeu ont reconnu le problème, d’autant plus gênant pour les utilisateurs d’iPhone que sur iOS, le système d’exploitation mobile d’Apple, les permissions d’accès ne peuvent pas être modulées : la seule solution pour bloquer cet accès gargantuesque est de révoquer son compte.
C’est une erreur, admet Niantic, qui travaille à une mise à jour qui réduira l’accès demandé lors de l’inscription au jeu. Mais l’éditeur se veut rassurant :
« Google a vérifié qu’aucune autre information [que l’identifiant et l’adresse mail] n’a été collectée ou vue par Pokémon Go ou Niantic. Google va bientôt réduire les permissions de “Pokémon Go” aux seules données de base du profil dont “Pokémon Go” a besoin, et les utilisateurs n’ont pas besoin de faire quoi que ce soit par eux-mêmes. »
MIse à jour. Google a démenti – en contradiction avec les propos antérieurs de Niantic – en affirmant :
« Dans ce cas, nous avons vérifié que la permission d’accès intégral au compte se rapporte à la plupart des réglages Mon compte. Des actions spécifiques comme l’envoi d’e-mails, la modification de dossiers etc. nécessitent des permissions explicites données au service (la permission dira “A accès à Gmail”). »
1 Commentaires
Anonyme
En Juillet, 2016 (10:15 AM)Avis de recrutement 2016-2017
La société Great Wall Motors lance au titre de l’académie
2016-2017
un recrutement en recherchant des gents qui ont au moins un diplôme
scolaire et autre diplôme pour travailler dans cette société. Apres
vos inscription Certain papiers sont à fournir gratuitement au postulant de
cette année comme : le billet d'avion aller-retour, carte de séjour,
hébergement et l'aide pour sont visa (Pays de provenance-ANGLETTERRE
LISBURN).Contacter le chef représentant pour votre inscription :
[email protected]
http:// lisburgreatwall.onlc.eu
Participer à la Discussion