La chasse aux données personnelles est ouverte !

Le 13 octobre 2016| Rédigé par Erwan Brouder| Posté dans Blog, Cybersécurité

La chasse aux données personnelles est ouverte !

Devons-nous réellement présenter l’application Pokémon GO développé par Niantic ? Vous connaissez sûrement ce jeu qui a dépassé les 500 millions de joueurs. Basé sur un ancien jeu du studio de développement Ingress, Pokémon GO permet d’attraper de petites créatures virtuelles dans le monde réel via la caméra de son smartphone. Des arènes de combat sont positionnées dans des lieux réels fréquentés créant de véritables attroupements comme les parcs, les gares ou encore des bureaux d’entreprises. Malheureusement, pour rejoindre les équipes de chasseurs bleus, rouges ou jaune, il va falloir donner de votre personne (physique ou morale) !

  1.   La boulimie de données
« Si c’est gratuit, c’est que tu es le produit ! »
Pokémon GO ne déroge pas à cette maxime. Dès l’installation, l’application demande les accès à certaines fonctionnalités de votre téléphone :

  • Autorisation
  • Contact client
  • Caméra (prise de photos ou vidéos)
  • Géolocalisation (réseaux mobiles, Wifi, GPS)
  • Carnet de contacts (lecture / ajout / modification)
  • Stockage (Android uniquement en lecture / modification / suppression
  • Identité (Identifiant de l’appareil et compte iCloud / Android associé)

Pour un jeu en réalité augmenté, ces demandes d’accès pourraient sembler cohérentes. Pourtant, outre l’accès aux fonctionnalités demandées plus haut, l’application est encore plus « Datavore ». C’est en feuilletant la politique de confidentialité de Niantic que l’on s’aperçoit que :

  • On autorise l’accès aux données permises par notre configuration de confidentialité de notre compte Google, Facebook et du compte Club des Dresseurs de Pokémon (PDC).
  • Les données collectées sont des actifs de l’entreprise.
  • Le service récupère le dernier site web visité avant d’y accéder.
  • La résiliation ou la désactivation ne supprime pas vos données.
  • Il est possible de le faire en envoyant sa demande à l’adresse suivante : pokemongo-privacy@nianticlabs.com
  • Les données sont stockées et gérées aux États-Unis.

Pour anecdote, lors de ses débuts sur iOS, l’application avait le contrôle total de votre compte Google rattaché. Heureusement, une mise à jour a rapidement retiré cet abus de droit…

Nous vous laissons imaginer les informations qu’une entreprise pourrait partager généreusement dans le cas ou l’application serait installée sur un téléphone professionnel (ou en BYOD)…

2.   Les dérives
On ne parlera pas ici des dérives comportementales que l’on a pu voir partout sur internet et qui sont propres à chacun, mais bien de l’appétit des personnes mal intentionnées à « surfer » sur l’application phare du moment.

Afin de répartir la charge des serveurs dans le temps et gérer l’afflux de personnes souhaitant se connecter au jeu, le lancement s’est effectué par Pays. Les plus impatients, possesseurs de téléphone Android, se sont rapidement procuré facilement le paquet APK de l’application. Le problème est qu’un grand nombre de ces versions étaient infectées et récoltait ces mêmes informations dans un objectif beaucoup plus malveillant que la version officielle.

Pour lutter contre ce type de menace, il est conseillé de passer systématiquement par le store officiel. Malgré cela, vous pouvez vous retrouver à installer des logiciels malveillants même à travers le play store d’Android, comme un certain guide supposé vous aider à progresser dans le jeu contenant un cheval de Troie.

On attend les premiers retours d’incident intitulé : « Comment le jeu mobile le plus diffusé au monde a infecté notre système d’information ? »

3.   Un nouveau risque à prendre en compte
Que l’on aime ou que l’on déteste l’univers de POKEMON, on peut reconnaître une chose, ce nouveau genre d’applications a introduit de nouveaux risques pour les entreprises.

Pokémon Go n’est pas la première application à utiliser la géolocalisation ou la réalité augmentée, mais elle est incontestablement la plus téléchargée à ce jour ce qui amplifie fortement l’exposition à ce type de risque.

Il est certain que ce nouveau modèle économique pour les jeux mobiles risque de faire des émules dans les mois à venir et continuer de mettre à mal la confidentialité de vos données…

Affaire à suivre !
Christophe JORGE, Consultant en sécurité des systèmes d’information

One thought on “La chasse aux données personnelles est ouverte !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *