Mieux Prévenir

Comprendre le rapport entre la santé et l'environnement pour mieux protéger nos enfants et les générations futures.

28 juil. 2016

Pokémon Go, « un énorme risque pour la sécurité »

Pikachu dans des herbes hautes -
Sadie Hernandez/Flickr/CC
Pokémon Go, « un énorme risque pour la sécurité »
par Thierry Noisette, Journaliste,
rue89.nouvelobs.com, 12 juillet 2016

« Attrapez-les tous ! »... même les données des utilisateurs ! « Pokémon Go », le jeu pour smartphone qui fait un tabac depuis la semaine dernière, est « un énorme risque pour la sécurité », a averti Adam Reeve, un informaticien spécialisé dans les questions de sécurité.

« Eh bien Niantic [l’éditeur du jeu, ndlr], on dirait que certaines installations de “Pokémon Go” donnent un accès intégral aux comptes Google liés. Une idée de la raison ? »

Accès aux e-mails, aux fichiers...



Le jeu permet à ses utilisateurs soit de se créer un profil dans l’appli même, soit de s’identifier par leur compte Google (Niantic appartenait à Google jusqu’à fin 2015), mais sans préciser ce qu’ils laissent ainsi passer.

Or, relève Adam Reeve, dans le second cas « Pokémon Go » peut quasiment tout faire :


  • Lire vos e-mails.
  • Vous en envoyer.
  • Accéder à votre Google Drive (qui permet de stocker des fichiers – que « Pokémon Go » peut supprimer !).
  • Lire vos historiques de recherche sur Google et Google Maps.
  • Et regarder vos photos.


« Enorme négligence »

L’informaticien observe :

« Bon, je ne crois évidemment pas que Niantic prépare un cambriolage mondial des données personnelles. C’est sans doute juste le résultat d’une énorme négligence. Mais je ne connais rien des politiques de sécurité de Niantic, je ne sais pas ce qu’ils vont faire de cette impressionnante puissance qu’ils se sont octroyés, et franchement je ne leur fais pas du tout confiance.

J’ai révoqué leur accès à mon compte et supprimé l’application. J’aimerais vraiment jouer, ça a l’air très amusant, mais ça ne vaut vraiment pas le risque. »

Les éditeurs du jeu ont reconnu le problème, d’autant plus gênant pour les utilisateurs d’iPhone que sur iOS, le système d’exploitation mobile d’Apple, les permissions d’accès ne peuvent pas être modulées : la seule solution pour bloquer cet accès gargantuesque est de révoquer son compte.

C’est une erreur, admet Niantic, qui travaille à une mise à jour qui réduira l’accès demandé lors de l’inscription au jeu. Mais l’éditeur se veut rassurant :

« Google a vérifié qu’aucune autre information [que l’identifiant et l’adresse mail] n’a été collectée ou vue par Pokémon Go ou Niantic. Google va bientôt réduire les permissions de “Pokémon Go” aux seules données de base du profil dont “Pokémon Go” a besoin, et les utilisateurs n’ont pas besoin de faire quoi que ce soit par eux-mêmes. »

Mise à jour.  Google a démenti – en contradiction avec les propos antérieurs de Niantic – en affirmant:

« Dans ce cas, nous avons vérifié que la permission d’accès intégral au compte se rapporte à la plupart des réglages Mon compte. Des actions spécifiques comme l’envoi d’e-mails, la modification de dossiers etc. nécessitent des permissions explicites données au service (la permission dira “A accès à Gmail”). »

http://rue89.nouvelobs.com/2016/07/12/pokemon-go-enorme-risque-securite-264614

Aucun commentaire:

Enregistrer un commentaire