Lancé le 5 juillet en Australie et Nouvelle-Zélande et le 6 aux Etats-Unis, le jeu mobile Pokémon Go rencontre un véritable succès, en proposant de partir à la chasse aux Pokémon dans la rue et lors de ses déplacements quotidiens grâce à son smartphone. Pensé comme une expérience de réalité augmentée le jeu créé conjointement par The Pokémon Company, Nintendo et Niantic (ex start-up de Google) se montre tout aussi regardant sur les données personnelles, que divertissant.
Il faut dire que Pokémon Go propose deux modes de connexion, le premier via un compte pokemon.com (qu’il faudra créer sur le site en question), le second par l’intermédiaire de son compte Google, histoire d’accélérer le processus. Mais problème, dans le cas d’une connexion via un compte Google, l’application est autorisée à avoir l’accès complet à ce dernier, et potentiellement à ce qu’il contient. De quoi susciter quelques réactions.
Levée de bouclier donc, de la part de certains, face à un jeu résolument curieux sur les informations personnelles. C’est notamment le cas d’Adam Reeve, ingénieur dans une entreprise américaine spécialisée dans l’analyse des risque en matière de cybersécurité, qui s’est exprimé sur le sujet via un billet sur son compte Tumblr.
Pokémon Go, aussi malveillant qu’un Malware ?
C’est en tout cas ce qu’avance Adam Reeve, qui a fait l’expérience de se connecter au jeu via son compte Google. L’intéressé a remarqué que le jeu n’informait pas le joueur de ce a quoi il aurait accès via ce mode de connexion. Mais ce n’est pas tout, Adam Reeve est allé voir du côté des applications associées au compte Google, et a eu la surprise de constater que Pokémon Go avait obtenu un accès total au compte. De quoi permettre à l’application de lire ses emails, d’avoir accès (entre autre) à ses documents stockés sur Drive, aux photos présentes sur Google Photos, mais aussi à l’historique de recherche de Maps.
Cette situation quelque peu dérangeante est très certainement le fruit “d’une énorme négligence” de la part de Nintendo ou de Niantic, c’est du moins ce que pense Adam Reeve, et c’est ce que les créateurs du jeu ont confirmé suite à son billet. Ils ont par ailleurs précisé que seules les informations relatives au nom d’utilisateur et à l’adresse mail avaient été recueillies, et qu’une mise à jour viendrait prochainement corriger le problème.
Google aussi devrait apporter sa contribution en réduisant le niveau d’autorisation que Pokémon Go s’est vu attribuer. En attendant certains sites spécialisés préconisent aux utilisateurs de désinstaller l’application en attendant une mise à jour. Rien que ça.
En même temps Niantic a toujours utilisé l’authentification via l’écosystème google, comme avant ils étaient hébergés chez Google.