Pokémon GO est un "malware" et un "risque de sécurité énorme": expert en sécurité

Si vous vivez sous un rocher depuis une semaine, Pokémon GO est un jeu mobile extrêmement populaire et en réalité augmentée. Il bat déjà Tinder et rivalise avec Twitter parmi les utilisateurs actifs quotidiens. Le jeu n’a que cinq jours et il existe déjà près de 50 000 avis sur l’App Store iOS. Les gens passent beaucoup plus de temps à rechercher Pokémon qu'à WhatsApp, Instagram, Snapchat ou Facebook Messenger.

Le succès de Pokémon GO est formidable pour son créateur Niantic et pour les millions de personnes qui l'ont téléchargé. À une exception près: il existe une vulnérabilité majeure en matière de sécurité et personne ne sait vraiment pourquoi.

Deux jours après la sortie du jeu, Adam Reeve, expert en sécurité, a tweeté à propos de cette vulnérabilité. En raison de la demande écrasante du jeu, les nouveaux utilisateurs, si les serveurs surchargés fonctionnaient, ont été obligés de se connecter à l’aide d’un compte Google. Ceux qui l'ont fait ont alors pu commencer à jouer. Cependant, ni Google ni le Pokémon GO L’application elle-même avertissait les nouveaux utilisateurs du degré de confidentialité qu’ils sacrifiaient.

Il s’avère que c’est beaucoup.

«Accès complet». Cela devrait sembler beaucoup. Il est. Reeve écrit dans un article intitulé "Pokemon Go représente un risque énorme pour la sécurité" sur son blog. Dans son tweet en lien avec la publication, il appelle l'application malware. Le plus important à retenir est que «accès complet» signifie simplement:

Pokemon Go et Niantic peuvent maintenant:

• Lire tout votre email
• Envoyer un email comme vous
• Accédez à tous vos documents Google Drive (y compris leur suppression)
• Consultez l'historique de vos recherches et l'historique de navigation de votre carte
• Accéder à toutes les photos privées que vous pouvez stocker dans Google Photos
• Et beaucoup plus

L'accès a affecté tous les utilisateurs iOS et certains utilisateurs Android. Pour savoir si vous avez vous-même abandonné l'accès à votre compte, cliquez ici.

Donc, @NianticLabs, il semble que quelques installations de Pokemon Go obtiennent un accès complet aux comptes Google liés. Une idée pourquoi?

- Adam Reeve (@adamreeve) 11 juillet 2016

Niantic n’a que très peu de raisons d’avoir autant d’accès. Reeve écrit que «les meilleures pratiques (et la simple logique) dictent» que les applications demandent les informations minimales requises - «qui ne sont généralement que de simples informations de contact». En conséquence, Reeve devine qu'il s'agissait d'un oubli - bien gros surveillance - au nom de Niantic.

«Ce n'est probablement que le résultat d'une négligence épique. Mais je ne connais rien aux politiques de sécurité de Niantic. Je ne sais pas à quel point ils protégeront ce nouveau pouvoir impressionnant qu’ils se sont donné et, franchement, je ne leur fais pas confiance du tout. J'ai révoqué leur accès à mon compte et supprimé l'application. J'aimerais vraiment pouvoir jouer, ça a l'air très amusant, mais il n'y a aucun moyen que cela vaille le risque."

Pourtant, il y a quelque chose de louche. Lorsqu'une application demande des autorisations, Google doit informer rapidement les utilisateurs du nombre d'autorisations qu'ils accordent. Dans ce cas, aucune invite de ce type n'existait: les utilisateurs créaient un compte et - à leur insu - donnaient un accès complet.

Le problème n’est pas que Pokemon Go a accès à votre compte Google, c’est que Google ne vous demande jamais de lui accorder l’accès. Ça ne devrait pas être possible.

- SecuriTay (@SwiftOnSecurity) 11 juillet 2016

De plus, toujours, Niantic n’est pas dissipateur: un porte-parole a déclaré à Ars Technica seulement les suivantes: "Pas de commentaire à partager pour le moment."

Soit Google goofed, soit Niantic automatise son navigateur pour accepter, par programme, l’avertissement de sécurité de Google. Problème majeur dans les deux sens.

- SecuriTay (@SwiftOnSecurity) 11 juillet 2016

Propre de Niantic Pokémon GO La politique de confidentialité inclut les éléments suivants qui, compte tenu de ce qui précède, semblent trompeurs:

"Pendant le jeu et lorsque vous vous enregistrez pour créer un compte avec nous … nous allons collecter certaines informations qui peuvent être utilisées pour vous identifier ou vous reconnaître (" PII "). Plus précisément, comme vous devez posséder un compte auprès de Google avant de vous inscrire pour créer un compte, nous collecterons les informations personnelles (telles que votre adresse e-mail Google…) auxquelles vos paramètres de confidentialité avec Google… nous permettent d'accéder.

Et pire:

«Après la résiliation ou la désactivation de votre… compte, Niantic, ses clients, ses sociétés affiliées ou ses fournisseurs de services peuvent conserver des informations… et du contenu utilisateur pendant un délai commercialement raisonnable…»

Si vous êtes une personne qui chérit votre vie privée dans votre Pokémon, continuez comme si de rien n'était. Si vous préférez garder votre compte Google pour vous, vous devez alors révoquer votre accès. (Révoquer l'accès n'aurait apparemment pas d'incidence sur votre Pokémon durement gagné.)

Si vous ne vous êtes pas encore inscrit, utilisez simplement un compte Google graveur. Avec une base d’utilisateurs aussi importante et croissante, les exploits ne peuvent pas être loin derrière.