Vous avez peut-être déjà constaté des problèmes de sécurité concernant l'application Pokémon GO sur les médias sociaux. Ces problèmes sont très valables. L’application peut utiliser son propre conteneur Webview pour la connexion à partir de votre compte Google. Une fois approuvée, elle se donne un accès complet à toutes vos données.
Nous avons contacté Niantic - qui a développé l'application Pokémon Go. Il a répondu aux médias tard lundi soir. ABC News a été parmi les premiers à le partager sur Twitter - et Niantic a ensuite envoyé la même réponse à Android Central.
La déclaration se lit ainsi:
Nous avons récemment découvert que le processus de création de compte Pokémon GO sur iOS demandait par erreur une autorisation d'accès complet au compte Google de l'utilisateur. Cependant, Pokémon GO n’accède qu’aux informations de base de votre profil Google (en particulier votre identifiant utilisateur et votre adresse e-mail) et aucune autre information de compte Google n’a été consultée ou collectée. Une fois que nous avons pris conscience de cette erreur, nous avons commencé à travailler sur un correctif côté client afin de demander l'autorisation de ne fournir que des informations de base sur les profils Google, conformément aux données auxquelles nous avons réellement accès. Google a vérifié qu'aucune autre information n'a été reçue ou consultée par Pokémon Go ou Niantic. Google va bientôt réduire les autorisations de Pokémon GO aux seules données de profil essentielles à Pokémon GO. Les utilisateurs ne doivent donc rien entreprendre eux-mêmes.
Le message original suit:
La bonne (?) Nouvelle est que cela semble être un problème uniquement sur iOS. Sur Android, l'application semble utiliser le "bon" moyen de se connecter avec vos informations d'identification Google et ne demande pas l'accès aux données confidentielles de votre compte. Vous pouvez vérifier par vous-même ici. En fait, lorsque nous vérifions un compte qui n'a pas utilisé d'iPhone pour la connexion, l'application Pokémon GO n'est même pas répertoriée comme ayant un accès. Ne vous inquiétez pas si vous voyez la même chose.
La première préoccupation - la page de connexion du conteneur Webview - n’est pas trop troublante. Apple dispose de méthodes sécurisées permettant aux applications de procéder de la sorte (bien que Google préfère que l'utilisateur soit dirigé vers le navigateur Web par défaut afin que l'URL puisse être vérifiée) et que chaque application soit vérifiée par le personnel Apple avant sa publication. Oui, même Apple peut laisser passer quelque chose, mais la page d’autorisation du compte est légitime. Nous avons vérifié. Et des millions d'utilisateurs ont vérifié.
La deuxième préoccupation - l'accès à toutes les données de votre compte Google - est beaucoup plus inquiétante.
Ce niveau d'accès signifie que l'éditeur peut tout voir. Selon Google:
Lorsque vous accordez un accès complet à votre compte, l'application peut voir et modifier presque toutes les informations de votre compte Google (mais elle ne peut pas changer votre mot de passe, supprimer votre compte ou payer avec Google Wallet en votre nom).
Certaines applications Google peuvent être répertoriées sous accès complet au compte. Par exemple, vous pouvez constater que l'application Google Maps que vous avez téléchargée pour votre iPhone dispose d'un accès complet à votre compte.
Ce privilège "Accès complet au compte" ne doit être accordé qu'aux applications en lesquelles vous avez pleinement confiance et qui sont installées sur votre ordinateur, votre téléphone ou votre tablette.
Et plus. En gros, tout ce que vous avez fait en vous connectant à Google et tout ce que vous avez enregistré dans Drive ou Photos sont largement accessibles à Niantic et à l'application elle-même.
Maintenant, nous ne pensons pas que Niantic ou Nintendo vont examiner vos données de compte ou regarder vos photos. Mais que se passe-t-il si quelqu'un trouve un moyen de pirater Niantic? Avec un accès à la bonne base de données, tout attaquant peut avoir un jeton qui leur donne tout votre "contenu". Ce n'est pas bon. Pas bon du tout.
Nous vous recommandons d’utiliser un compte Google séparé si vous voulez jouer à Pokémon Go sur votre iPhone. Ou vous pouvez décider de ne pas jouer du tout et supprimer les autorisations de votre page de sécurité Google.
L'important est que vous sachiez ce qui se passe.
