Vie privée: les applications iPhone au coeur d’un nouveau scandale.
Après les données de géolocalisation qui permettent aux applications de vous pister, des utilisateurs ont découvert que les réseaux sociaux importaient et stockaient les carnets d’adresse sans demander la permission expresse de leurs propriétaires. Apple a réagi.Pris la main dans le sac ! Pas pour vous voler votre portefeuille, non, plutôt votre carnet d’adresse. Car c’est de réseaux sociaux, dont il s’agit. Facebook, Path, Twitter, Yelp, Instagram… Toutes ces applications accèdent discrètement, sans rien demander, au carnet d’adresses de leurs utilisateurs sur iPhone et les téléchargent sur leurs serveurs. L’affaire, ou plutôt les affaires, ont été révélées par des blogueurs et viennent de conduire Apple à annoncer un changement de sa politique de confidentialité. Impression de déjà vu.
« Les applications qui collectent ou transmettent les contacts d’un utilisateur sans sa permission en amont violent nos conditions générales », a déclaré Apple. En conséquence, comme elle l’avait fait après le scandale des données de géolocalisation, Apple s’est engagé à obliger les applications à demander la permission expresse des utilisateurs. Deux parlementaires démocrates lui ont un peu forcé les mains, en lui demandant de clarifier sa politique vis-à-vis des développeurs.
Tout a commencé la semaine dernière, quand le jeune réseau social Path s’est retrouvé accusé de siphonner les noms, numéros de téléphone et adresses email du carnet d’adresse de ses utilisateurs, sans les prévenir, et de les stocker sur ses serveurs sans chiffrer les informations, et sans limite de durée. Le patron du site s’en est excusé et a consenti à détruire ces informations, puis il a mis à jour son application iOS, désormais beaucoup plus polie.
Depuis, le grand jeu consiste à trouver qui fait pareil. Réponse : toutes les applications sociales les plus populaires, à des degrés divers. Par exemple, certaines demandent bien la permission d’accéder au carnet d’adresses, mais pas celle de l’importer et de stocker les informations. Plusieurs milliers d’applications moins connues pourraient faire la même chose, note SlashGear.
Dernier accusé en date: Twitter. L’entreprise a reconnu stocker les adresses mail et les numéros de téléphone pendant 18 mois, à compter du moment où l’utilisateur choisit d’utiliser la fonction « scanner son carnet d’adresses » pour rechercher des contacts présents sur Twitter. Le fait d’autoriser l’application à accéder au carnet d’adresses ne devrait pas être une autorisation implicite d’en prendre possession pendant 18 mois ! Mais profitons-en pour redire que ce genre de fonctionnalités n’est pas anodine, et que sur les réseaux sociaux, il faut bien réfléchir à ce qu’on souhaite partager et quelles permissions on donne aux applications. Cela ne les dédouane pas de fournir des informations incomplètes sur leur fonctionnement, mais c’est un minimum.
Ces problèmes ne touchent pas les applications Android, qui demandent toute une série de permissions au moment du téléchargement.
REUTERS/Robert Galbraith Article original
rtaines applications iOS, et pas des moindres, traitent vos données personnelles à la légère. La semaine dernière, une polémique a éclaté aux Etats-Unis après qu’Arun Thampi, un développeur singapourien, a découvert que l’application iPhone du réseau social Path transmettait le carnet d’adresses complet de ses utilisateurs sur ses serveurs… sans même les prévenir. Oups. Ces données sensibles, Path ne se contentait pas de les récupérer : la firme, créée par Dave Morin, un ancien de Facebook, les conservait aussi !
La fonction « trouver des amis » de Twitter est mise en cause
Devant ce mauvais buzz et la colère de ses utilisateurs qui a suivi, Path a, depuis, fait son mea culpa. Et supprimé toutes les informations personnelles de ses serveurs. Mais le débat continue. Parce qu’en utilisant la même technique que Thampi, qui consiste à « sniffer » les paquets de données qui sortent de l’iPhone grâce à un proxy, on a pu découvrir que Path était loin d’être un cas isolé. Les sites The Verge et VentureBeat ont mené l’enquête et découvert que de nombreuses apps iOS, à des degrés divers, étaient également très indiscrètes.
Twitter, Foursquare, Instagram… Toutes ces applications iOS populaires envoient votre liste de contacts sur leurs serveurs pour tenter de retrouver vos amis déjà présents sur le réseau. Une fonction pratique… Sauf que les utilisateurs ne sont pas toujours mis au courant que les noms et adresses de leurs contacts vont être transmis à un tiers. Parfois, ces informations ne sont même pas transmises de façon sécurisée, et peuvent être interceptées par un tiers, comme sur Hipster.
Twitter garde vos données 18 mois !
Le cas de Twitter est également particulièrement grave puisque, non seulement la fonction « trouver des amis » ne prévient pas l’utilisateur de la transmission des données, mais celles-ci sont en plus conservées… Très longtemps. 18 mois, d’après le Los Angeles Times.
Devant le tollé provoqué par les révélations du journal californien, Twitter a précisé qu’elle mettrait à jour ses applications « pour clarifier que les contacts des utilisateurs seront transmis et enregistrés ». Twitter ne compte donc pas changer de politique… Juste rendre la procédure plus transparente. Et d’ajouter que « les noms des contacts ne sont pas enregistrés, seulement les adresses mail et les numéros de téléphone ». D’autres, comme Foursquare, ont déjà mis leur application à jour, afin d’avertir les utilisateurs que leurs informations personnelles étaient transmises (mais pas stockées).
Est-ce censé nous rassurer ? Apple, sur qui la polémique a forcément rebondi, est sortie de son interminable silence pour répondre aux questions d’un des médias dont elle est la plus proche, le site AllThingsD : « Les applications qui collectent et transmettent les contacts d’un utilisateur sans leur autorisation préalable sont en violation de nos règles. Nous travaillons à rendre nos services encore meilleurs pour les consommateurs », a indiqué la firme. Et de préciser que « les applications qui souhaitent accéder aux données de contact requerront l’approbation explicite de l’utilisateur dans une future mise à jour ».
iOS en faute ?
Autrement dit : Apple ne fait, pour l’instant, rien pour empêcher cette pratique. Il faudra sans doute attendre iOS 5.1 pour cela. La firme, si prompte à censurer les applis qui lui déplaisent, n’a pas non plus jugé bon de bannir d’iTunes Store un seul de ses programmes litigieux, pourtant « en violation de ses règles ». Pourquoi ? Dustin Curtis, un développeur d’applications iOS, estime sur son blog qu’Apple ne protège pas du tout les informations personnelles, et que ce scandale est né de son inconséquence.
Il raconte que, grâce à l’accès sans limites aux données de contacts d’iOS, ses amis développeurs ont pu récupérer « des millions de contacts ». Et disposent, outre les coordonnées de millions d’anonymes, des numéros de mobiles de Mark Zuckerberg et de Bill Gates ! « Je ne vois pas pourquoi Apple n’a pas placé de protections sur le carnet d’adresses sur iOS. Cela n’a aucun sens. C’est une violation de ma vie privée et cela a permis à chaque appli que j’ai installée de voler mon carnet d’adresses. »
Reste à savoir si Apple va se contenter d’obliger les développeurs d’applications à afficher un message avant d’accéder à l’intégralité de vos contacts. Ou si la firme prendra des mesures plus radicales. En la matière, elle pourrait s’inspirer de son concurrent Google : avant chaque installation d’application sur Android, un écran précise à quel service le programme aura accès, dont éventuellement les « données de contact ». Rien n’empêche, en revanche, une fois l’appli installée avec cette autorisation, que les données soient là encore transmises.
Eric le Bourlout – 01.NET Article original
 |
 |
