Free Mobile, suivez l'actualité du nouvel opérateur mobile

businessMOBILE.fr en version mobile Accédez à la version mobile de businessMOBILE.fr

A ne pas manquer

iPhone : les développeurs d'application peuvent mettre la main sur vos coordonnées !

par Olivier Chicheportiche , ZDNet France. Publié le 29 septembre 2009

Tags: ,,,,

Il serait tout à fait possible pour un développeur de n'importe quelle application iPhone, de récupérer les numéros de téléphone des appareils sur lesquels celle-ci est installée, révèle Mac4Ever. Pas rassurant.

Malgré les améliorations apportées par la version 3.1 de son firmware, l'iPhone reste pour beaucoup une passoire en termes de sécurité. Apple, qui cherche à pénétrer le marché des entreprises afin de concurrencer l'hégémonie des BlackBerry, est en effet confrontée à de nombreuses vulnérabilités présentes dans son terminal.

On a déjà évoqué ici la faiblesse de l'outil de cryptage des données, les bugs dans le client mail, la possibilité (non exploitée et corrigée depuis) de prendre le contrôle à distance de l'appareil via l'envoi en masse de SMS, l'efficacité relative de l'outil anti-phishing...

Cette fois, c'est notre confrère Mac4Ever qui met la main sur un problème de taille concernant non pas le smartphone en lui même mais les violations de vie privée permises par les applications installées.

Transmission interdite

Tout a commencé par des témoignages. "Lorsque certains lecteurs nous ont contactés afin de nous informer avoir été appelés au téléphone après avoir téléchargé une application sur l'AppStore, sans y avoir entré de coordonnées personnelles au préalable, nous avons eu du mal à y croire. En effet, jamais Apple ne fournit aux développeurs, les coordonnées de ses acheteurs. Nous avons donc mené notre petite enquête", explique le webzine.

Et après enquête, il semble bien que les applications iPhone peuvent devenir de véritables petits espions. "Il est tout à fait possible, pour le développeur de n'importe quelle application iPhone, de récupérer les numéros de téléphone des appareils sur lesquels celle-ci est installée, et ensuite, de les envoyer (par exemple) sur une base de données distante. L'opération peut se faire à l'insu total de l'utilisateur, ce qui constitue un manquement grave aux principes de collecte de données personnelles prévues par la loi (en Europe, du moins)", détaille Mac4Ever.

Rappelons que la collecte des informations personnelles dans une application iPhone est autorisée mais leurs récupérations ainsi que leurs transmissions sans en informer l'utilisateur sont rigoureusement interdites.

Le cas a pourtant été vérifié avec l'application suisse mogoRoad. "Quelques semaines après installation, un opérateur vous appelle, afin de vous vendre la version payante. Lorsque vous lui demandez comment votre numéro a été récupéré, les réponses varient, comme en témoignent les nombreux commentaires sur iTunes, mais généralement, la personne vous dit qu'Apple leur a transmis votre numéro au moment de l'achat. Ceci est évidemment faux. Le seul moyen de récupérer votre numéro consisterait à l'envoyer, quand vous lancez l'application pour la première fois. Et pas besoin d'être un fin hackeur pour cela : une simple ligne de code suffit pour récupérer le numéro de téléphone !".

Mis au courant, Apple n'a pas encore régit à cette affaire. Pas de quoi rassurer les DSI...

A voir : iPhone 3.1, les 18 améliorations en images


À lire aussi
Suivez facebook Flux RSS Newsletters businessMOBILE.fr

RéagissezRéagissez - 11 commentaires

  • #1 - par nolan  le 2009/09/29 18:56:57

    A quelques heures de l'annonce des chiffres record de l'iPhone et de l'App Store ça fait tâche...

    25 millions d'iPhone qui peuvent potentiellement alimenter les bases commerciales sans aucun avertissement, voilà enfin un sujet sur lequel il semble légitime de provoquer un scandale (et pas juste un buzz)...

    Par contre une action rendant Apple encore plus méfiante ne fera que renforcer les conditions d'acceptation des applications sur le store... on n'a rien sans rien...

    A suivre.

    PS : Vous y tenez à dire que la prise de contrôle de téléphones a été rendu possible hein... Pourquoi, alors que ce n'a jamais été le cas ? La faille publiée ne le permettait pas en l'absence d'une autre faille.

    signaler au modérateur  répondre

  • #2 - par jean pellegrin  le 2009/09/29 20:27:45

    Il ne s'agit pas de plomber Apple mais de souligner un problème. Apple censure des applications qui ne devraient pas l'être et en autorisent d'autres qui violent les droits des citoyens. Il reste à attendre la réponse d'Apple.

    signaler au modérateur  répondre

  • #3 - par nolan  le 2009/09/29 21:08:07

    @jean pellegrin : La question semble délicate. En effet nos téléphones portables stockent nos données. Et rien n'empêchent nos applications d'y avoir accès et de manipuler ces données, pour une raison simple, c'est que c'est précisément à cela qu'elles servent !

    De la même manière qu'il est impossible de vérifier qu'une action d'un utilisateur sur un ordinateur n'engendrera pas l'écrasement de données (créer, enregistrer et effacer des fichiers n'est pas un crime, c'est une action toute bête que nos applications font des milliers de fois par jours), il semble impossible de vérifier qu'une information transmise l'est avec le consentement de l'utilisateur (on ne va obliger l'utilisateur à répondre à une boite de dialogue à chaque fois que son téléphone envoi une requête sur le réseau, ce serait tout simplement inutilisable).

    A partir de là, comment répondre techniquement à ce problème ? Le problème est-il seulement de l'ordre de la technique ? Une simple application "carnet d'adresses" connaît assurément la liste précise de vos contacts, avec adresses, numéros de téléphone, et mail, et est ainsi naturellement en mesure d'envoyer sa base de données à un tiers. C'est une action naturelle d'une application, qui pourrait parfaitement être volontaire de la part de l'utilisateur.

    signaler au modérateur  répondre

  • #4 - par nolan  le 2009/09/29 21:08:28

    Quelle solution alors ? Parce que c'est peut-être plutôt un problème de confiance et d'honnêteté vis-à-vis des développeurs. Et sauf à imposer de l'open source au développeurs pour être techniquement en mesure de scruter leur code par dessus leur épaule, chose impossible à grande échelle d'autant plus pour un modèle économique commercial, je ne crois pas que quiconque puisse apporter la moindre réponse.

    PS : La chose semble connue depuis le début de l'année en fait. Mac4Ever a cru détenir une exclusivité, mais Erica Sadun en parlait déjà sur ArsTechnica en Janvier :
    http://arstechnica.com/apple/news/2009/01/iphone-dev-user-phone-numbers.ars

    signaler au modérateur  répondre

  • #5 - par pol  le 2009/09/29 21:29:18

    tous les téléphones en général ont ce soucis je pense, pas la peine de pointer du doigt l'iphone
    sur windows mobile, pimbackup permet de sauvegarder toutes ses données en un fichier, ce qui prouve qu'une appli peut accéder à ses données (sur pc aussi le soucis existe, sinon les sites des banques n'aurait pas changé leur page d'authentification)

    signaler au modérateur  répondre

  • #6 - par Doky  le 2009/09/29 22:53:00

    Rien de bien surprenant, c'est aussi possible sous WM/Android mis à part qu'on ne passe pas par une faille mais qu'on utilise des API. J'ai essayé sous Android et à l'install le système prévient que l'appli va avoir accès à des données persos comme le numéro de tel etc donc l'user est prévenu...
    Bref un point de moins pour Apple vis à vis des entreprises.

    signaler au modérateur  répondre

  • #7 - par nolan  le 2009/09/30 00:50:38

    @Doky : De quelle faille parles-tu ? J'ai indiqué juste au dessus un lien qui donne l'API à utiliser. C'est tout ce qu'il y a de plus officiel (et basique) comme truc. Et comme je l'indique plus haut on ne peut pas mettre une boite de dialogue à chaque sortie d'information d'un téléphone, c'est absurde pour un appareil aussi communiquant.

    Merci donc de ne pas induire sciemment les lecteurs en erreur en parlant de faille là où il n'y en a pas...

    signaler au modérateur  répondre

  • #8 - par xx-os  le 2009/09/30 04:06:54

    Jusqu'à nouvel ordre, et malgré ce que l'article laisse accroire, ce n'est que le numéro de l'iPhone lui même qui est accessible, et ce, dans un champ spécifique qui doit être dûment renseigné par l'utilisateur dans Réglage > téléphone > Mon numéro.
    Ce champ doit être renseigné physiquement, il ne l'est pas par défaut. Tout au plus, peut-on reprocher à Apple de ne pas indiquer à ce moment là, qu'il pourrait être accessible par des tiers...
    Donc, a priori, un non événement qui a du mettre en excitation prépubère les gars de Mac4ever, persuadés d'être tombés sur le coup du siècle.

    Arrêtez de parler de "récupérer les numéros"... D'ailleurs, en aucun cas un programme ne peut accéder aux numéros du carnet d'adresse. Tout au plus, il peut effectuer une ouverture du carnet d'adresse. Tout est normalement parfaitement étanche, sauf bien sûr s'il y a bug. Mais la manière dont en parle Mac4ever avec des incantations de vierges effarouchées en parlant de non respect des lois, d'irrégularité flagrante, de délit puni par la loi... Comme si apple s'amuserait volontairement à contrevenir la loi...
    bref tout au plus un bug, sinon un feu de paille reprise par une presse unanime, comme un seul homme, avec tous les accomodements de mise...

    signaler au modérateur  répondre

  • #9 - par Marc  le 2009/09/30 10:34:32

    xx-os
    :

    > D'ailleurs, en aucun cas un programme ne peut accéder aux numéros du carnet d'adresse. Tout au plus, il peut effectuer une ouverture du carnet d'adresse.



    Pourriez-vous preciser la nuance pour les non-experts?

    signaler au modérateur  répondre

  • #10 - par Chapo_chapi  le 2009/09/30 13:01:44

    l'iPhone reste plutôt bien sécurisé. Regardez Android... et les possibilités de choper des données dans le mobile par les développeurs d'applications!

    signaler au modérateur  répondre

  • #11 - par Phonitive  le 2009/10/01 10:34:15

    Je trouve la polémique assez drôle.
    Les utilisateurs ont critiquer Apple, car le système de développement était trop strict. Il n'est pas possible de customiser l'iphone, d'avoir des programmes en tâches de fond etc... Bref les applis sont limitées d'un certains point de vue.
    Aujourd'hui, les utilisateurs critiquent Apple car leur système n'est pas suffisamment brider...
    Etrange paradoxe je trouve.
    Pour info, la récupération de données personnelles, n'est pas limités a l'iphone. Toutes les OS de téléphones portable le permet.
    Enfin bref...
    Apple protège nous... mais pas trop

    signaler au modérateur  répondre

Votre commentaire

Vous n'êtes pas identifié
Pour participer à la discussion, vous devez être membre de businessMOBILE.fr et être identifié.

Afin de garantir un bon esprit de participation, les modérateurs de businessMOBILE.fr se réservent le droit de supprimer/modifier tout message considéré comme publicitaire, hors-sujet ou abusif (notamment en cas de commentaire diffamatoire ou injurieux).

Dernières News

Plus de News & blogs

Copyright © 2011 CBS Interactive. All Rights Reserved. Confidentialité

À propos de CBS Interactive | businessMOBILE recrute