![[MàJ] Pokémon Go : les permissions trop généreuses sous iOS ont été révoquées](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/3923.jpg "[MàJ] Pokémon Go : les permissions trop généreuses sous iOS ont été révoquées")
La stabilité des serveurs de Pokémon Go n'est finalement pas le plus gros problème auxquelles les équipes de Niantic doivent faire face. Leur application iOS s'attribue en effet des permissions auxquelles elle ne devrait pas avoir droit, ce qui créé un début de polémique.
Pokémon Go a trouvé sa place sur de très nombreux terminaux Android et iOS partout dans le monde et représente sans nul doute l'un des plus gros succès en termes de jeux mobiles de cette année. Cependant, l'enthousiasme autour du jeu commence a redescendre à cause d'un problème que Niantic, le studio à l'origine du titre, n'avait visiblement pas anticipé.
Une application trop bavarde sous iOS
Pour fonctionner correctement, Pokémon Go a besoin d'obtenir plusieurs autorisations. Le jeu a besoin de connaître la position GPS du joueur, d'accéder à sa liste de contacts pour établir sa liste d'amis, à l'espace de stockage du téléphone pour y ranger quelques fichiers et à la caméra pour les fonctions de réalité augmentée. Rien d'absurde donc.
Cependant Adam Reeve, un chercheur en sécurité, a fouillé un peu plus en détails dans l'application pour s'apercevoir que lors de la connexion au compte Google sur iOS pour la création du compte de jeu, le message suivant apparaît : « Pokémon Go a un accès complet à votre compte Google ». Une petite phrase lourde de sens.
Elle autorise en effet Niantic à accéder et à modifier la quasi-totalité des données présentes sur votre compte Google. Cela inclut vos e-mails stockés sur Gmail, vos documents stockés sur Drive, vos photos rangées avec Google Photos, votre historique de recherche et de navigation sur Chrome, l'envoi d'e-mails et bien plus encore. Oui, c'est un peu moche. Le problème n'apparait cependant que sur la version iOS du jeu. Celle fonctionnant sous Android est donc épargnée.
Niantic assure que ce n'est qu'un accident
Si Google n'a pas réagi à la nouvelle, les langues se sont déliées du côté de Niantic. Dans un communiqué envoyé à Re/Code, le studio explique que tout ceci ne serait qu'une simple erreur. « Pokémon Go n'accède qu'aux données de base du profil Google (spécifiquement votre identifiant et votre adresse email) et aucune autre information n'est lue ou collectée » affirme le studio. Si l'application a bel et bien accès à ce type de données sensibles, Niantic promet donc qu'elle ne cherche pas à les récupérer.
La société assure également qu'un correctif est en cours de déploiement du côté de Google afin de corriger au plus vite cette bévue. « Google réduira prochainement les permissions de Pokémon Go aux informations basiques de profil dont il a besoin et les utilisateurs n'ont pas besoin de faire quoi que ce soit ».
En attendant, tout n'est qu'affaire de confiance entre les utilisateurs et Google. Les plus soucieux de leurs données peuvent privilégier la connexion via un compte Pokémon Trainer Club ou bien se rendre sur la page de gestion des permissions de leur compte Google et révoquer manuellement les accès de Pokémon Go.
Commentaires (66)
#1
Et les fameux contrôles d’Apple avant d’autoriser une app sur le store, ils servent à quoi ?
Surtout que certains nous ont expliqué sur un article récent qu’ils justifient une partie les 30 % pris par Apple.
#2
Allez allez ! ca sort quand en France la !!!
#3
#4
#5
Si j’ai bien compris ça n’a rien à voir. Ici Pokémon Go demande directement accès aux informations de ton compte Google sans passer par le store
C’est comme quand tu t’identifies via Google à certains services en ligne, tu dois valider certaines autorisations avant d’y accéder via une interface Google.
#6
Si t’es si impatient que ça télécharge un apk sur un site tier
" />
#7
J’ai du mal à comprendre l’engouement autour de ce jeu…
#8
Ouais enfin plein d’appli (et sites) utilisent les identifiants Google pour s’y connecter sans demander autant d’infos, et surtout pourquoi que sur iOS ?
Ils ont clairement fait une boulette et pas des moindres.
#9
C’est l’utilisateur qui donne le droit à l’application de faire ça, pas Apple. Aucune raison de bloquer cette appli, donc.
D’autant qu’il est aussi possible de se connecter au jeu sans compte Google.
#10
C’est marrant à “jouer”, mais l’engouement va vite disparaître, c’est surtout un gros effet de mode grâce à la communication autour de la sortie.
#11
Moi ce qui m’étonne, c’est qu’une société puisse avoir accès à tout ton compte aussi facilement. Je trouve ça super dangereux (erreur ou volontaire? les deux cas m’inquiètent). Les permissions devraient toujours être ajoutés manuellement. Mais bon, s’pas user friendly…
" />
#12
#13
Il tient en 7 lettres : Pokémon
" />
(+ le fait de ne pas avoir à posséder une console Nintendo)
#14
#15
Ah oui clairement je ne déments pas la boulette, j’explique juste qu’Apple n’a rien à voir là dedans !
" />
#16
#17
#18
#19
à priori c’est juste l’UI de google qui est fautive.
en fait l’appli n’a pas accès à la totalité du compte, mais le message de Google le laisse entendre.
cf le post d’Ari Rubinstein sur Github
#20
#21
Encore un coup de la Team Rocket ! Ceux la, toujours prompt à nous jouer des mauvais tours
" />
#22
#23
Du coups avec l’appli t’attrape pas que des pokemons ?
#24
Je ne sais pas si le jeu sera toujours aussi populaire après l’été mais il est vraiment bien.
Oui c’est un Ingress en moins avancé mais c’est beaucoup plus fun que d’attraper des portails.
J’aurai pensé qu’il fallait avoir été un fan de pokemon pour apprécier mais apparemment plein de gens qui ne connaissaient pas avant s’y sont mis et sont devenus accros.
Personnellement je n’ai pas joué depuis 15 ans à Pokemon et je ne connaissais que les 150 premiers, eh bien c’est vraiment cool d’y jouer de cette façon, ça te fait bouger en plus, enfin un jeu bon pour la santé :)
#25
Ce jeu rappel aussi beaucoup de souvenir pour les 25-30 ans donc sa ramène en enfance.
J’ai beaucoup jouer a ingres et pokemon go si il évolue pourra devenir son remplaçant car dans l’état actuel il va vite s’essouffler.
#26
#27
#28
#29
Oui, enfin, je viens de regarder dans les paramètres Google et Ingress (donc Niantic) a aussi l’accès complet.
Et à l’identique, il n’est pas possible de changer ce niveau de partage.
Et pourtant, il n’y a pas du tout la même polémique sur le sujet…
#30
#31
Sympa ton site, très instructif et sérieux ça se voit !
http://www.cartelpress.com/photos-dragon-shot-dead-house-going-viral/
#32
Welcome to the “Cartelpress.com” a satirical website owned by Huzlers.com.
#33
Quand on se fait prendre la main dans le pot de confiture, forcément on dit qu’on regrette. Mais quand on ne se fait pas prendre…
" />
#34
Carrément, c’est ce qui m’étonne le plus dans l’histoire, qu’un tiers puisse avoir autant de droits sur un compte Google. Je ne vois même pas quels services auraient besoin d’autant si ce n’est les services google eux-mêmes.
#35
Nintendo qui vient sur IOS…. mais Apple les laisseraient même pomper tes communication téléphoniques avec le sourire s’ils le demandaient !!!!!
#36
A vrai dire j’ai pris le premier lien google qui passait. Mea culpa (mais il me semblait avoir lu des news en ce sens même si moins graves…)
EDIT avec des sources plus sérieuses
https://www.washingtonpost.com/news/morning-mix/wp/2016/07/11/pokemon-go-craze-s…
#37
Bah quand tu vois qu’un simple jeu style candy crush te déclenche parfois un pop-up demandant si t’autorises l’accès à tes photos/vidéos, y a de quoi se poser des questions…
Personnellement j’ai jamais compris les permissions demandés pour certains applications. Genre voyages-sncf pour le repertoire, ok je comprend si l’application permettait de faire des itinéraires porte à porte (ce qui est le cas de l’appli SNCF) mais pour VS je vois pas l’interêt.
Du même genre, pourquoi l’application de ma banque souhaite avoir accès à l’appareil photo et à mes contacts ?
#38
Pour effectuer des virements par SMS et permettre la photographie de pièces justificatives quand tu échanges avec ton conseiller via l’app ?
#39
Pour la banque, je dirais que l’appareil photo peut servir pour des QR codes sur leur site. Pour les contacts, peut être simplement pour ajouté le numéro de ton agence.
Les permissions sont souvent pas très utiles, mais j’ai quand même l’impressions qu’elles sont rarement utilisé de façon abusives.
#40
effectivement dans l’update il explique que l’appli pourrait changer de token et récupérer un full access.
#41
#42
#43
sur CyanogenMod y’a un gestionnaire de permissions qui permet par exemple de forcer l’appli à demander l’autorisation quand elle a besoin d’une permission.
ce gestionnaire affiche aussi (et c’est très intéressant) dans tous les cas combien de fois l’appli a eu besoin de cette permission, et la date de la dernière fois.
et c’est là qu’on voit que la plupart des permissions requises par les applis ne sont jamais utilisées (à part les permissions évidentes style GPS pour GMaps par exemple).
#44
et c’est heureux.
" />
#45
#46
#47
#48
#49
mouais pas besoin de ça, là ça serait surtout du bad buzz.
#50
Ce sous-titre…
" />
Par contre, j’attends le premier mort du mec qui aura été au milieu d’un désert ou se jettera à l’eau, ou < idée à la con à la Tamagochi > pour chopper un Pokémon…
#51
#52
Euh, c’est quoi ce vieux message Hadopi sur mon PC via NextINPACT ? c’te vieux joke
" />
“La Haute Autorité se Dirigeant vers l’Oubli Parfait sur Internet n’est pas là pour sanctionner.”
lol
#53
#54
C’est du fake…
#55
#56
Pas d’inquiétude c’est vite dit, pour l’instant c’est un fake mais pour combien de temps ?
" /> , bon c’était un ricain mais ils sont loin d’avoir le monopole de la bêtise humaine)
Je suis tech itinérant et il ne se passe pas une journée sans que je manque de me manger au moins un ahuri qui traverse n’importe où n’importe comment sans regarder ce qui se passe autour de lui car trop occupé à garder la tronche scotchée sur son smartphone (dans Paris c’est une vraie plaie).
Ce jeu risque d’empirer encore les choses et pour moi c’est juste une question de temps avant qu’il y ai les premiers accidents. (vu ce matin aux infos un gars tellement absorbé par ce qui se passait sur l’écran de son téléphone qu’il s’est mangé un poteau de lampadaire …
#57
Oui mais Pokémon Go ou pas le problème reste le même, là on parle de problèmes causés directement par l’application comme un pokémon rare au milieu d’un champ de mines (j’exagère un chouillas mais c’est pour la beauté de l’exemple)
#58
Faut savoir que les arènes Pokémon sont simplement les portails d ingress qui ont été ré utilisés.. et dans ingress ce sont les utilisateurs qui soumettent à Niantic les emplacements et les points d intérêts… et comme le but d ingress est de rendre les portails imprenable par la faction ennemi ça explique la position de l arène .
Il y en a un peut partout en France sur la côte nottament sur les phares.
Bref ça fait des années sur ingress qu on fait ce genre de fantaisie mais il aura fallu attendre Pokémon pour qu on en parle.
À noté que sur ingress on peut définit les noms et les photos des portail, garder la liste des portails en notre possession… chose impossible dans Pokémon go et c’est relou de ne pas savoir quel arène à été perdu quand on en a un paquet.
Au fait quelqu’un pourrait m expliquer pourquoi je ne pas déposer certains Pokémon dans les arènes même si l arène est monté de niveau avec des slots vide et que j ai des Pokémon dispo avec pv à fond?
#59
#60
La bêtise humaine étant ce qu’elle est je suis sur qu’il y a moyen de trouver relativement facilement au moins un crétin, et plus probablement nettement plus d’un, pour aller chercher une bestiole virtuelle au milieu d’un champs de mines, dans un poste de transformation HT, ou à n’importe quel endroit dangereux où personne de censé n’irait mettre les pieds en temps normal et ce sans se poser la moindre question.
#61
Après les c… se faisant écraser car les yeux fixés sur le smartphone, voici les cr….. se faisant écraser en essayant d’attraper des pokemon dans la rue.
" />
#62
Cela Bug encore plus depuis la MAJ