La mise à jour facilitée des applications est presque une nécessité tant il en existe de différentes et tant la fréquence est soutenue. Sur Android, il est même possible d’automatiser le processus, une option qui sera peut-être copiée un jour par Apple, qui vient de s’inspirer de Google pour permettre la mise à jour de toutes les applications d’un seul clic sans mot de passe sur iOS6. Décidément…
Lorsque les conditions d’utilisation changent, Google demande toutefois une validation manuelle sur Android. Raison pour laquelle je me suis arrêté en fin de semaine sur la mise à jour de l’application Twitter, en allant lire les nouvelles conditions générales. Je n’ai pas été déçu!
Twitter à la poubelle
La capture d’écran ci-dessus est édifiante, même si sur le fond elle n’a rien de nouveau. Nombre d’applications demandent des permissions qui font parfois froid dans le dos. Twitter nous demande donc d’accepter qu’une application (laquelle?) puisse modifier des données de contact…
La suite est encore plus intéressante: «Des applications malveillantes peuvent utiliser cette autorisation pour effacer ou modifier vos données de contact». Ni une, ni deux: l’application Twitter est passée à la poubelle pour laxisme sécuritaire évident… On me répliquera que c’est un avertissement de sécurité standard: peu importe.
Le clavier qui peut vous espionner…
En cherchant un peu, on trouve encore presque pire, notamment en matière de clavier alternatif. Il y a peu, un lecteur disait dans cette colonne tout le bien qu’il pensait de SwiftKey 3, qui se présente comme «l’écran tactile le plus avancé pour Android». Tellement en avance que vous pourriez bien de rester définitivement derrière…
Voici le texte d’avertissement qui apparait lorsqu’on choisit ce mode de saisie: « Cette méthode permet de collecter tous les textes saisis, notamment les données personnelles et les numéros de carte bancaire, à l’exception des mots de passe. Cela vient de l’application SwiftKey 3. Utiliser quand même?» Le vocabulaire est édifiant «permet de collecter»…
On savait déjà que des Google, Apple, Microsoft et autres étaient en quelque sorte les incarnations modernes de Big Brother. Mais là, on commence à aller trop loin. Ma recette? Se méfier plus que jamais du nuage et limiter drastiquement tous ces chargements automatiques de photos, contacts et autres, par ailleurs si pratiques… D’ailleurs, peut-on encore faire autrement? Ou plutôt, pour combien de temps…
Xavier Studer
Comment se fait-il que les gouvernement n’interviennent pas. On se demande ce que font les protecteurs des données?
Si tu penses à notre protecteur national, il se limite à enfoncer des portes ouvertes…
pour débuter avec votre petit plaisir quotidien trollesque, je pense que c’est une grosse erreur d’autoriser les màj auto, que ce soit sur PC ou smartphone, toujours attendre qq jours avant de faire une mise à jour !
sinon pour le conditions d’utlisation, j’ai vraiment l’impression qu’il n’y a plus de juste milieu. Soit vous êtes consciencieux et un poil parano et vous lisez tout, donc n’installez quasi plus rien (voire vous coupez de l’informatique) soit on fait une croix potentielle sur sa vie privée
Sur Android les mises à jour automatique se désactivent si l’application change le moindre paramètre au niveau des accès qu’elle demande. Il n’y a donc aucun risque sur ce point.
je pensais plutôt aux bugs classiques
La protection des données n’existe que dans des paroles en l’air. On est tracé, surveillé, écouté, espionné. je connais 2amis qui se sont fait piraté leur compte Yahoo, avec perte de tous leurs contacts. J’avais reçu un mail d’appel au secours, soi-disant à Madrid à un hotel et que je devais lui envoyer de l’agent car elle s’était fait voler ses affaires. Bonjour l’arnaque.
Jamais de cloud chez moi, pas de contacts importants sur le webmail, tous mes documents dans mon ordi, et des sauvegardes. Pas d’abonnement payant automatique.
Je ne suis pas sûr que vous ayez compris la provenance de ces messages d’avertissement: c’est le système qui les affiche, pas l’application.
Exemple avec Twitter: l’app demande une permission d’accéder et de modifier les données des contacts, ce que l’on peut comprendre vu que Twitter permet de synchroniser ses contacts twitter et ses contacts téléphones.
Dès qu’une app demande cette permission le système affichera ce message car il ne sait pas s’il y s’agit d’une appli malveillante ou pas.
«Des applications malveillantes peuvent utiliser cette autorisation pour effacer ou modifier vos données de contact» Ce message ne parle pas de l’autorisation pour l’appli Twitter spécifiquement, c’est un message généraliste qui se retrouve dans les apps accédant aux contacts, Gmail y compris!
Le premier message est issu de Twitter, le second du système. Regardez attentivement les captures d’écran et vous verrez la différence de provenance de ces deux messages. Cela dit, peu importe. Est-il admissible que dans un tel message on accepte que des applications malveillantes puissent utiliser notre smartphone…
Le problème est de savoir si l’application est malveillante ou pas, l’OS ne sait pas faire la différence, et une application non malveillante peut le devenir après une mise à jour. La solution d’Apple qui est de contrôler chaque app avant sa publication peut être une solution même si les failles restent possibles.
La solution d’Apple pourrait être une solution mais la vérification est très sommaire et pas toujours très objectives. Énormément d’application se font refuser ou retarder de plusieurs semaines pour des raisons obscures ou pour laxisme du vérificateur de chez Apple.
C’est vite très compliqué pour les campagnes marketing ou simplement prévoir une date de sortie…
Apres l installation d un autre clavier alternatif, j ai eu le même message d avertissement. La réaction a été pareille sur le moment mais après réflexion, depuis 2004 j effectue des achats via internet et windows utilise certainement les mêmes procédés. Il faut se faire une raison, Android est correct et avertis, les autres Os font certainement pareil et faut l accepter.
On a vu pire ces jours, les acheteurs Iphones ont été accoster par la police Aux USA à la sortie de l Apple Store pour qu ils donnent l ID de leur nouvel achat pour prévenir un pseudo vol d appareil et…… Contrôler toute l activité de ce dernier ….. alors on doit vivre avec….
C’est la classe Android ^^ Ca me fait pencer a Acer… La même daube. Vous perdez du temps avec ca… Trop de magouille et de bricollage sur Android. Quelqu’un qui n’utilise pas son telephone pour faire joujou ne choisira jamais ce système!
Pas vraiment, non…
Android a bien des défauts, comme tous les systèmes, mais ce qu’explique XS dans ce billet est sûrement une des fonctionnalités les plus intéressantes du système de Google: contrairement à presque tous les autres OS mobiles, on peut savoir exactement à quelles données chaque application aura accès. Ceci permet de mieux repérer, avec un peu d’attention, quand certaines applications sortent de leur cadre et tentent de récolter des informations dont elles n’auraient pas besoin, ou simplement qu’on ne veut pas partager certaines informations.
Autant dire toute l’incohérence de votre commentaire (et encore je ne suis même pas sûr qu’il y avait besoin de répondre pour s’en rendre compte)…
je le trouve au contraire intéressant puisqu’évidemment l’acheteur lambda n’ira jamais fouiller là dedans. C’est tout la problème de la vision geek qui sous couvert de liberté nous amène vers une régression de l’informatique
@manu: Fouiller là-dedans? Il n’y a rien à fouiller… C’est affiché proprement et clairement à l’installation d’une nouvelle application, ou lorsqu’elle a changé ses paramètres et qu’on la met à jour. On ne peut pas faire plus simple! Hormis, peut-être, ne pas donner l’information et se retrouver, comme avec certains autres systèmes mobiles, avec des scandales d’application qui aspirent vos données personnelles sans avertissement et qui ont passés des protections réputées infranchissables 😉
Donc si je comprends bien se que vous dites, si on prend les 500’000 activations d’appareils Android par jour ou les 20 milions de Galaxy S3 vendus, se ne sont que des bidouilleurs ou des geeks et que les gens normaux vont uniquement sur iOS, Windows et autres? Sa en fait beaucoup de bidouilleurs…
Perso j’ai un smartphone sous Android, ainsi que bp de proches, mais je ne suis pas du tout bidouilleur et eux non plus.
Merci de poster des commentaires plus objectifs, ca sa sent la mauvaise foie.
😉
Avant de faire des postes alarmistes et demander aux gens de désinstaller la moitié de leurs applications, il faut un peu s’informer sur le sujet…
Comme le mentionne Rémy, ces messages d’avertissement proviennent du système et mettent en gardent que cette application demande un droit qui pourrait être mal utilisé dans le cadre d’une application malveillante…
Un clavier doit effectivement avoir le droit d’intercepter les saisies de l’utilisateur (c’est son but). Cependant une application pourrait profiter de ce droit pour enregistrer des données de l’utilisateur. Un simple clavier d’ordinateur pourrait également enregistrer vos saisies dans un but malveillant, pourtant on utilise encore tous des claviers…
Ces messages ont pour but de rendre sensible les utilisateurs sur les droits donnés aux applications et qu’il est important de ne pas installer n’importe quoi de n’importe qui.
Mais ces droits sont nécessaire à de nombreuses applications pour simplement fonctionner…
Je suis le premier à saluer ces messages mais ilsoyez particulièrement attentif au vocabulaire choisi. Il me semble que tout de même quelque chose à dire. Je précise que j’utilise Android depuis des années et que je connais parfaitement la signification de ces avertissements.
Pour le clavier, en effet je suis assez d’accord. La conséquence de récolter les informations saisies est logique pour… un clavier 😉 Je m’alarmerais pas non plus pour ça. De même pour Twitter, étant donné qu’il permet de lier les comptes Twitter que l’on suit avec ses contacts, c’est un peu normal qu’il puisse y avoir accès… Je ne le désinstallerai pas pour ça.
En revanche je partage le fond du billet, certaines applications se montrent bien indiscrètes. Typiquement il y a peu une application pour calculer la vitesse de déplacement qui voulait accéder à mes contacts. Là, en effet, elle va voir ailleurs si j’y suis 😉
Après une 2e vérification dans le cas de twitter c’est bien un message standard. Étonnant tout de même sur le compte d’un super développeur… Non? Le risque est donc mesuré. En revanche je maintiens mes doutes pour le clavier. D’ailleurs je n’ai jamais utilisé de telles solutions.
Après vérification dans le cas de Twitter c’est bien un message standard. Étonnant que tout de même il apparaît sur le compte d’un super développeur. Le risque est donc mesuré. En revanche je maintiens mi août pour le clavier d’ailleurs je n’ai jamais utilisé de telles solutions.
Un précision encore Twitter donne accès à ses données à des applications tierces. je maintiens donc que le texte d’avertissement manque de précision dans ce cas.
Pour répondre à propos de swiftkey, le clavier a accès (logiquement) à tout ce que tu tapes, il est donc logique qu’il puisse voir les numéros de téléphone, numéros de CB etc… TOUS les claviers que tu installeras t’afficheront les mêmes avertissements, y compris sur un samsung lorsque tu switches du clavier d’origine à swype et inversement, pourtant tous les 2 installés d’origine
Concernant l’application twitter, la réponse de Rémy est assez complète
Comme expliqué dans ma note, c’est le vocabulaire qui est problématique. «permet de collecter» et non “à accès”. On parle ici de collecte d’information, ce qui n’est pas anodin.
Du moment que vous avez “à accès” en tant que programme (et donc développeur) vous pouvez collecter les données donc je pense que le message est-parfaitement juste. Concernant une application clavier le problème est d’avoir accès au frappes clavier ET à internet, je vous laisse imaginer ce que vous pouvez faire de ces 2 permissions.
J’utilise personnellement Smart Keyboard Pro qui a forcement accès au frappes clavier sinon une telle application ne pourrait tout simplement pas exister… mais elle n’a pas accès à internet.
Pour ma par je trouve dommage qu’il n’existe pas sous Android une procédure de certification FACULTATIVE qui permettrait de certifier qu’une application respecte l’utilisateur. Le même genre de certification faite par l’Apple store mais que chaque développeur pourrait choisir ou pas de faire passer à son application et ainsi d’avoir une sorte de label de “confiance”.
Ce pourrais idéalement être une tierce partie qui ferait organisme de certification.
Lors de la dernière mise à jour de l’appli Maps de Google, j’ai lu les autorisations et j’ai lu entre autre :
appeler directement des numéros de téléphone
Permet à l’application d’appeler des numéros de téléphone sans votre intervention. Des applications malveillantes peuvent être à l’origine d’appels inattendus figurant sur votre facture téléphonique. Notez que cette fonctionnalité ne permet pas à l’application d’appeler les numéros d’urgence
Surement à cause qu’on peut appeler directement des hotels ou autres via l’application. Mais ça fait froid dans le dos pour des applications moins sûr
Oui. Je me demande si Google, tout en maintenant ce système novateur, ne devrait pas un peu revoir ses textes et veiller au grain. Lorsque même les utilisateurs avancés commencent à se poser des questions, c’est pas bon signe.
Finalement, ce que vous suggérez là c’est que Google s’inspire un peu plus des écho-systèmes de Microsoft (Market) et/ou Apple (Store) 🙂
Une chose est certaine, à l’heure actuelle, le risque d’apparition d’applications malveillante est encore nettement plus présente dans l’écho-système Android que dans les autres. Google est en train de serrer la vis depuis quelque temps mais il y a encore du boulot et de l’investissement. L’investissement c’est justement un des éléments qui fait qu’un smartphone coûte plus cher qu’un autre (suivez mon regard….).
Bien que je comprenne le fond de votre billet, je le trouve assez déplacé pour un blog qui prône les nouvelles technologies. En suivant votre logique de désinstallation de Twitter, vous pouvez continuer avec tout le reste (FaceBook et autre Linkedin). Comme l’a très justement suggéré un de vos lecteur dans une réponse à ce billet, tant que vous y êtes, arrêtez d’utiliser un smartphone et vous n’aurez plus de problèmes (potentiels) 🙂
Pour terminer, il me semble assez logique que des développeurs (voir les concepteurs des systèmes d’exploitations) se protègent par ce type de message. De nos jours, tout est sujet à procès sur notre planète. L’utilisateur final est, et restera toujours, le seul responsable de l’utilisation qu’il fait des outils qu’il utilise. A titre personnel, vous avez parfaitement le droit de supprimer telle ou telle application, mais de là à faire un foin pareil pour un simple message d’avertissement, il y a un pas que, personnellement, je n’aurais pas franchi.
Les mises à jour sous Android sur mon SIII sont vraiment une galère et se font très mal (je n’utilise pas le système automatique, je préfère voir ce qui se passe et les nouveautés avant de les initier). Effectivement, lorsque qu’il y en a plusieurs, souvent ça se bloque et je suis obligé d’arrêter les màj et de recommencer pour voir enfin le download et la mise à jour se faire.
De plus, souvent on est obligé d’y passer du temps car certaines doivent se faire de manière manuelle.
Bien plus simple et efficace sur mon iPhone et maintenant sans mot de passe, c’est juste d’une efficacité redoutable.
bravo madame j’ai rien compris au poste mais j en profite pour dire n’importe quoi sur un truc qui me dépasse avec en prime un troll…sinon oui c’est la classe un os qui te détail exactement tout ce que l’application va voir sur son appareil… un truc qui sera certainement dans ios 7….en prlant de bricolage aller donc mettre un de vos mp3 en sonnerie sur votre iphone….
marrant ur mon iphone c’est pas plus simple,même sans mot de passe….ou alors appuyer sur un bouton sur iphone et devenu plus simple…..que d’appuyer un bouton sur android…votre gs3 a peut être un problème.. 3ans sur android et jamais eu le problème que vous avez…maus j’ai jamais eu de surcouche samsung aussi
Merci pour ce post. J’en ai fait de même et ai posté une demande à @twitter afin de savoir pourquoi ils demandent de pouvoir modifier les contacts. Je n’aurai certainement pas de réponse, mais tous les abonnés à leurs tweet pourront être informés 🙂