C’est une drôle d’histoire que nous rapporte Mac4ever cette semaine. Les auteurs du site expliquent avoir découvert qu’une application est tout à fait en mesure de détecter le numéro du téléphone sur lequel elle est installée, puis de le rapatrier sur un serveur distant, de façon à ce qu’il aille enrichir une base de données. Celle-ci pourra ensuite être utilisée pour des appels publicitaires, du spam ou on ne sait trop quoi d’autre.
L’application par laquelle ce problème a été mis à jour s’appelle mogoRoad. Editée par la société suisse ID Mobile SA, elle offre des informations routières en direct, et se destinent principalement aux Suisses. Certains d’entre eux ont eu la surprise, quelques jours après avoir installé l’application, de recevoir un coup de téléphone d’un commercial leur proposant d’acquérir la version complète du logiciel, alors qu’ils n’avaient jamais transféré leur numéro de téléphone ou donné leur accord pour que celui-ci soit communiqué à l’éditeur.
L’affaire est sacrément gênante : que le numéro d’appel soit stocké dans le système, cela va de soi : cette information est nécessaire à certains logiciels. Mais que certaines applications puissent l’extraire, sans le consentement de l’utilisateur, voilà qui parait plus gênant !
« Il est tout à fait possible, pour le développeur de n’importe quelle application iPhone, de récupérer les numéros de téléphone des appareils sur lesquels celle-ci est installée« , s’insurge Mac4ever suite à cette découverte.
Comment se fait-il qu’il soit possible pour un développeur de connaitre le numéro d’appel d’un iPhone ? Il faut savoir que le kit de développement d’applications fourni par Apple offre un certain nombre d’API (interfaces de programmation) qui permettent de communiquer avec les données stockées sur le téléphone. Parmi celles-ci, on trouve le numéro d’appel, même si l’on se demande pourquoi une application aurait besoin d’y accéder sans le consentement de l’utilisateur.
Ici, il semblerait bien qu’il ne s’agisse pas d’une faille de sécurité, contrairement à ce que beaucoup ont écrit. La blogueuse Erica Sadun, bien connue des Apple-fans, s’interrogeait d’ailleurs déjà en janvier dernier sur la possibilité conférée aux développeurs d’accéder au numéro. Cet accès est donc bien permis par Apple, même s’il n’a jamais été documenté.
Cette anecdote, qui a rapidement fait le tour du Web francophone, soulève à mon sens deux problèmes. Le premier, c’est bien sûr cet accès ouvert, et l’absence de vérification de la part d’Apple qu’une application ne risque pas d’être utilisée pour récupérer des données appartenant à l’utilisateur.
Le second, c’est bien sûr l’inadmissible conduite de l’éditeur qui, si cette histoire est bien avérée, s’est permis d’utiliser une donnée personnelle sans le consentement de l’intéressé !
On attend maintenant de voir comment Apple résoudra le problème… L’application concernée a pour l’instant été supprimée de l’App Store.
PS : j’ai volontairement traité cette information avec un temps de retard, afin d’avoir le temps de mener quelques recherches, de peser le pour et le contre, afin d’éviter de tirer au lance-flammes sur un truc qui n’en valait peut-être pas le coup. Si certains disposent d’informations complémentaires, leurs lumières sont les bienvenues !
Jeu de briques
Snake
Pacman
Bubble