Une mise à jour a été déployée cette nuit pour la version iOS de Pokémon Go. Elle se concentre sur la résolution de divers bugs causant des crashs de l'application et révoque les permissions superflues qu'elle s'accordait par erreur. Désormais, lors de la connexion, les utilisateurs peuvent voir un écran qui détaille précisément les autorisations qu'ils accordent au jeu, à savoir de connaître l'identifiant Google et l'adresse e-mail du joueur, rien de plus.
La stabilité des serveurs de Pokémon Go n'est finalement pas le plus gros problème auxquelles les équipes de Niantic doivent faire face. Leur application iOS s'attribue en effet des permissions auxquelles elle ne devrait pas avoir droit, ce qui créé un début de polémique.
Pokémon Go a trouvé sa place sur de très nombreux terminaux Android et iOS partout dans le monde et représente sans nul doute l'un des plus gros succès en termes de jeux mobiles de cette année. Cependant, l'enthousiasme autour du jeu commence a redescendre à cause d'un problème que Niantic, le studio à l'origine du titre, n'avait visiblement pas anticipé.
Une application trop bavarde sous iOS
Pour fonctionner correctement, Pokémon Go a besoin d'obtenir plusieurs autorisations. Le jeu a besoin de connaître la position GPS du joueur, d'accéder à sa liste de contacts pour établir sa liste d'amis, à l'espace de stockage du téléphone pour y ranger quelques fichiers et à la caméra pour les fonctions de réalité augmentée. Rien d'absurde donc.
Cependant Adam Reeve, un chercheur en sécurité, a fouillé un peu plus en détails dans l'application pour s'apercevoir que lors de la connexion au compte Google sur iOS pour la création du compte de jeu, le message suivant apparaît : « Pokémon Go a un accès complet à votre compte Google ». Une petite phrase lourde de sens.
Elle autorise en effet Niantic à accéder et à modifier la quasi-totalité des données présentes sur votre compte Google. Cela inclut vos e-mails stockés sur Gmail, vos documents stockés sur Drive, vos photos rangées avec Google Photos, votre historique de recherche et de navigation sur Chrome, l'envoi d'e-mails et bien plus encore. Oui, c'est un peu moche. Le problème n'apparait cependant que sur la version iOS du jeu. Celle fonctionnant sous Android est donc épargnée.
Niantic assure que ce n'est qu'un accident
Si Google n'a pas réagi à la nouvelle, les langues se sont déliées du côté de Niantic. Dans un communiqué envoyé à Re/Code, le studio explique que tout ceci ne serait qu'une simple erreur. « Pokémon Go n'accède qu'aux données de base du profil Google (spécifiquement votre identifiant et votre adresse email) et aucune autre information n'est lue ou collectée » affirme le studio. Si l'application a bel et bien accès à ce type de données sensibles, Niantic promet donc qu'elle ne cherche pas à les récupérer.
La société assure également qu'un correctif est en cours de déploiement du côté de Google afin de corriger au plus vite cette bévue. « Google réduira prochainement les permissions de Pokémon Go aux informations basiques de profil dont il a besoin et les utilisateurs n'ont pas besoin de faire quoi que ce soit ».
En attendant, tout n'est qu'affaire de confiance entre les utilisateurs et Google. Les plus soucieux de leurs données peuvent privilégier la connexion via un compte Pokémon Trainer Club ou bien se rendre sur la page de gestion des permissions de leur compte Google et révoquer manuellement les accès de Pokémon Go.