iPhone : vos applications font joujou avec votre carnet d'adresses

Publié le 15 Février 2012

Allô ? Ici Apple 15/02/2012 

iPhone : vos applications font joujou avec votre carnet d'adresses



Captures d'écrans d'iPhone (Apple)

Au début du mois, Path – une application pour iPhone – était épinglée pour avoir stocké sur ses serveurs les carnets d'adresses de ses utilisateurs sans qu'ils en soient informés.

Cette pratique semble être en réalité une pratique courante. De nombreuses applications disponibles sur iPhone et iPad peuvent copier, et parfois stocker, le carnet d'adresses de leurs utilisateurs et son contenu sans que ces derniers soient tenus au courant. Profitant d'une faille dans les pratiques d'Apple.

Le 06 de Zuckerberg

C'est Dustin Curtis, blogueur et designeur américain, qui, le premier, a mis le doigt sur cette faille. Il a interrogé quinze start-up développant des applications : treize d'entre elles copient sur leurs serveurs tous les contacts de leurs utilisateurs. Et sont assises sur « des millions » d'informations personnelles : l'une d'entre elles possède même le numéro de portable de Mark Zuckerberg et de Bill Gates, respectivement fondateurs de Facebook et de Microsoft.

Mardi, le site d'information spécialisé Venture Beat a testé à l'aide d'un logiciel plusieurs applications (notamment Facebook, Twitter, Instagram et Foursquare). Certaines d'entre elles ne demandent pas l'autorisation à l'utilisateur avant d'accéder au carnet d'adresses. D'autres – comme Instagram et Foursquare – le font depuis peu (et le « scandale » Path).

Apple moins vigilant sur les carnets d'adresses

Pour une application, accéder au carnet d'adresses d'un utilisateur d'iPhone est chose facile. C'est même une fonction prévue par Apple, très courante, qui permet par exemple à un utilisateur d'inviter ses amis à un réseau social.

En revanche, le règlement d'Apple interdit d'accéder à l'intégralité d'un carnet d'adresses, et de le copier (ou le stocker) via Internet sur les serveurs de l'entreprise. Les nombreux développeurs d'applications pour iPhone que nous avons contactés ont pourtant confirmé la faisabilité de l'opération.

Apple vérifie toutes les applications iPhone soumises à la vente. Les instructions d'Apple en la matière stipulent que :

  • « Les applications ne peuvent pas transmettre de données à propos d'un utilisateur sans obtenir sa permission au préalable et doivent lui fournir des informations sur comment et où ces données seront utilisées.
  • Les applications qui, pour fonctionner, requièrent que les utilisateurs partagent des informations personnelles, comme une adresse e-mail ou sa date de naissance, seront rejetées. »

Apple est ainsi très vigilant concernant certaines données, comme la géolocalisation : l'iPhone fait apparaître une fenêtre qui demande explicitement à l'usager s'il veut partager ses données géolocalisées avec une application. Mais l'entreprise américaine ne fait pas preuve de la même vigilance pour encadrer l'utilisation des carnets d'adresses.

Des précautions qui incombent aux développeurs

Les précautions en matière de vie privée (suppression du carnet d'adresses des serveurs une fois son utilisation terminée, par exemple) sont donc à la discrétion des développeurs. Que rien n'oblige à supprimer ces données ou à les gérer de manière sécurisée. C'est ce qu'explique Marco Arment, le développeur d'une autre application populaire – Instapaper :

« J'avais l'impression qu'Apple m'avait donné un accès bien trop étendu au carnet d'adresses, sans intervention de l'utilisateur. C'était sale. Même si je n'accédais aux données personnelles que lorsque l'utilisateur me demandait explicitement de le faire, je voulais regarder seulement ce dont j'avais besoin et sortir de là le plus vite possible. Ce n'est, apparemment, pas une précaution courante. [...]

Ne pas requérir la permission de l'utilisateur [pour accéder à son carnet d'adresses, ndlr], doit être considéré comme une faille de sécurité. »

Dès la fin 2010, le Wall Street Journal notait qu'en la matière, il n'y a « aucun moyen de déterminer si les applications respectent » les conditions posées par Apple. Cependant, de la cinquantaine d'applications qu'il avait passées au crible, seules trois d'entre elles téléchargeaient et stockaient le répertoire.

Le problème de sécurité des données

Outre la question liée à la confidentialité de ces données personnelles disséminées sur des serveurs aux quatre coins du monde, se pose le problème de la sécurité de ces données. La question de la fuite se pose naturellement tant les exemples récents sont innombrables, de Zappos aux cadres de l'UMP en passant le réseau de la PlayStation de Sony.

Le caractère extrêmement sensible du carnet d'adresses pour certaines catégories d'usagers ajoute au problème. C'est ce que rappelle Nick Bilton, du New York Times : ces données constituent une mine d'or pour les régimes autoritaires désireux de surveiller leurs dissidents, ou pour tout régime qui voudrait en savoir plus sur les réseaux d'un journaliste.

À vous !

Vous devez être connecté pour commenter : or inscrivez-vous
  • Bernardo Zorro
    Bernardo Zorro
    Il était une fois dans le Sud- (...)

    « J'avais l'impression qu'Apple m'avait donné un accès bien trop étendu au carnet d'adresse, sans intervention de l'utilisateur »

    Business is business, ya que les neuneux pour penser qu'APPLE ou tout autre marque ne souhaite que leur bien...

  • piwi
    piwi
    riverain

    Pour les iPhone jailbreakés, le tweak ContactPrivacy sur Cydia « corrige » justement cela ; il prompte pour demander l'autorisation d'accéder au carnet d'adresse.

  • MartyMcFly
    MartyMcFly
    Pigeon Libre

    Il y a effectivement beaucoup de remouds au niveau des applications sur l'appstore (comme sur android market d'ailleurs). En effet le nombre des applications est tellement énorme qu'il y en a forcément dans le tas quelques unes qui ont pour but de réunir des informations sur les utilisateurs.
    Par exemple, l'autre jour j'ai acheté un galaxy s2 d'occasion par mobileoccasion et en recevant le téléphone il y avait encore les applications de la dernière personne ainsi que ses logins et mots de passes google (ce qui est censé être remis à zero lors du changement de carte sim je pense ? ).
    Il faut faire très attention avec ces appareils, il faut les traiter avec autant de vigilance qu'un pc et garder ses informations secrètes au maximum car il est encore plus vite de retrouver ses informations sur le net qu'avec un pc dû à la jeunesse de la technologie.

    • Takhiarel
      Takhiarel répond à MartyMcFly
      Etudiant

      Non, retirer la carte SIM ne provoque pas (et ne provoquera jamais) une remise à zéro du téléphone.
      Vous imaginez, pour ceux qui doivent jongler entre 2 cartes SIM (perso/boulot) pour un même téléphone ?

      L'inconvénient c'est que les gens ne se posent même pas la question du « est-ce que j'ai effacé tout ce qui est personnel ? », ils sont trop paresseux.

  • Takhiarel
    Takhiarel
    Etudiant

Rédigé par jeanfrisouster

Publié dans #citoyens d'europe

Repost 0
Commenter cet article