Les utilisateurs iOS qui choisissent de se créer un profil en se connectant à leur compte Google accordent à Pokémon GO l’accès à beaucoup plus d’informations personnelles que nécessaire.
Lancé aux États-Unis le 6 juillet dernier, Pokémon GO est rapidement devenu un phénomène. Si bien que les serveurs de Niantic, le développeur de l’application, peinent à satisfaire les besoins du bassin d’utilisateurs qui s’élargit à une vitesse incroyable.
Aux heures de pointe, les nouveaux venus se voient donc dans l’impossibilité de créer un compte de dresseur de Pokémon, essentiel pour pouvoir utiliser le jeu. Ils peuvent toutefois opter pour une connexion via leur compte Google, une alternative toujours opérationnelle même lors de périodes fortement achalandées.
Le message d’erreur lorsque les serveurs de Niantic sont congestionnés.
Le hic? Lorsque cette connexion s’effectue à partir de la version iOS de Pokémon GO, les permissions exigées par l’application sont larges, très larges : Niantic demande essentiellement de pouvoir accéder à l’intégralité de votre compte Google.
Généralement, les applications externes qui permettent une connexion via Google restreignent leur curiosité selon leur vocation. Mais dans le cas de Pokémon GO, les programmeurs semblent avoir oublié de préciser quelles étaient les informations pertinentes à leurs besoins avant de publier le jeu sous l’App Store.
C’est d’ailleurs ce qu’a confirmé le soutien technique de Niantic :
«Pokémon GO accède uniquement aux informations de base d’un profil Google et aucune autre information provenant de Google n’a été consultée ou recueillie.»
«Nous avons récemment découvert que le processus de création d’un compte Pokémon GO sur iOS demande à tort l’autorisation d’accéder à l’intégralité du compte Google de l’utilisateur. Cependant, Pokémon GO accède uniquement aux informations de base d’un profil Google (plus précisément, votre identifiant d’utilisateur et votre adresse courriel) et aucune autre information provenant de Google n’a été consultée ou recueillie.»
«Dès que nous avons été informés de cette erreur, nous avons amorcé le développement d’une mise à jour qui ajustera les demandes de permission afin de n’exiger que les informations de base du compte Google. Google a vérifié de son côté qu’aucune autre information n’a été transmise ou accédée par Pokémon GO ou Niantic. Google va bientôt réduire les autorisations de Pokémon GO de sorte que l’application ne pourra accéder qu’aux données de base dont elle a besoin, et les utilisateurs n’auront pas à prendre aucune mesure pour que ce changement soit effectif.»
Par prudence, de faux comptes ont été créés
Au moment où la nouvelle est apparue dans l’actualité, les membres de la communauté ont rapidement invité leurs pairs à se créer de nouveaux comptes Gmail dépourvus de contenu ou de toute information confidentielle à leur sujet. Certains joueurs avancés ont même fait marche arrière, supprimant leur profil de dresseur de Pokémon pour recommencer sous un nouveau profil via une nouvelle connexion Google «vierge».
Rappelons que cette trop grande curiosité de la part de Niantic n’a pas été observée du côté de la version Android. Ainsi, selon toutes vraisemblances, et lorsque l’on compare aussi avec l’information demandée par la création d’un compte via une adresse courriel, l’erreur en question paraît belle et bien accidentelle.