iPhone : les développeurs d'application peuvent mettre la main sur vos coordonnées !
businessMOBILE.fr le 29 septembre 2009
Il serait tout à fait possible pour un développeur de n'importe quelle application iPhone, de récupérer les numéros de téléphone des appareils sur lesquels celle-ci est installée, révèle Mac4Ever. Pas rassurant
Malgré les améliorations apportées par la version 3.1 de son firmware, l'iPhone reste pour beaucoup une passoire en termes de sécurité. Apple, qui cherche à pénétrer le marché des entreprises afin de concurrencer l'hégémonie des BlackBerry, est en effet confrontée à de nombreuses vulnérabilités présentes dans son terminal
On a déjà évoqué ici la faiblesse de l'outil de cryptage des données, les bugs dans le client mail, la possibilité (non exploitée et corrigée depuis) de prendre le contrôle à distance de l'appareil via l'envoi en masse de SMS, l'efficacité relative de l'outil anti-phishing
Cette fois, c'est notre confrère Mac4Ever qui met la main sur un problème de taille concernant non pas le smartphone en lui même mais les violations de vie privée permises par les applications installées
Transmission interdite
Tout a commencé par des témoignages. "Lorsque certains lecteurs nous ont contactés afin de nous informer avoir été appelés au téléphone après avoir téléchargé une application sur l'AppStore, sans y avoir entré de coordonnées personnelles au préalable, nous avons eu du mal à y croire. En effet, jamais Apple ne fournit aux développeurs, les coordonnées de ses acheteurs. Nous avons donc mené notre petite enquête", explique le webzine
Et après enquête, il semble bien que les applications iPhone peuvent devenir de véritables petits espions. "Il est tout à fait possible, pour le développeur de n'importe quelle application iPhone, de récupérer les numéros de téléphone des appareils sur lesquels celle-ci est installée, et ensuite, de les envoyer (par exemple) sur une base de données distante. L'opération peut se faire à l'insu total de l'utilisateur, ce qui constitue un manquement grave aux principes de collecte de données personnelles prévues par la loi (en Europe, du moins)", détaille Mac4Ever
Rappelons que la collecte des informations personnelles dans une application iPhone est autorisée mais leurs récupérations ainsi que leurs transmissions sans en informer l'utilisateur sont rigoureusement interdites
Le cas a pourtant été vérifié avec l'application suisse mogoRoad. "Quelques semaines après installation, un opérateur vous appelle, afin de vous vendre la version payante. Lorsque vous lui demandez comment votre numéro a été récupéré, les réponses varient, comme en témoignent les nombreux commentaires sur iTunes, mais généralement, la personne vous dit qu'Apple leur a transmis votre numéro au moment de l'achat. Ceci est évidemment faux. Le seul moyen de récupérer votre numéro consisterait à l'envoyer, quand vous lancez l'application pour la première fois. Et pas besoin d'être un fin hackeur pour cela : une simple ligne de code suffit pour récupérer le numéro de téléphone !".
Mis au courant, Apple n'a pas encore régit à cette affaire. Pas de quoi rassurer les DSI...