BlizzCon 2019 : Une utilisation inquiétante des données personnelles par l'application mobile AXS ?

Arkentass | 06/05/2019 à 11h10 - 14

Pour l'accès à la BlizzCon cette année, l'application mobile AXS est nécessaire. Cependant, celle-ci fut sujet à certaines polémiques en fin de semaine dernière, notamment concernant les données personnelles auxquelles elle a accès. Souvent, dans ce genre de situation, l'affolement général est rapide mais n'est pas toujours fondé, comme l'explique très justement Versus dans ce sujet publié sur Reddit. Il est normal de s'inquiéter des permissions que l'on donne à une application, mais également important d'en comprendre le fonctionnement exact.

Note : Seuls les smartphones Android sont concernés ici.

Aucune preuve ne permet actuellement d'accuser l'application AXS de spyware. Celle-ci stocke les informations personnelles nécessaires comme de nombreuses autres le font également.

Permissions de l’application

Une liste des permissions est visible sur la page du PlayStore.

Contacts

Read your contacts

Location

Approximate location (network-based)
Precise location (GPS and network-based)

Camera

Take pictures and videos

Wi-Fi connection information

View Wi-Fi connections

Other

Receive data from Internet
View network connections
Pair with Bluetooth devices
Full network access
Prevent device from sleeping
View network connections
Read battery statistics
Pair with Bluetooth devices
Access Bluetooth settings
Full network access
Run at startup
Control vibration
Prevent device from sleeping
Modify system settings

Le problème avec cette liste est son inexactitude. Celle-ci ne reflète pas les permissions de l’application une fois téléchargée, ni les permissions listées dans la version mobile du PlayStore ou les permissions listées dans le manifeste de l'application.

Voici la liste complète des permissions indiquées dans le manifeste de l'application.

android.permission.INTERNET
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_CONTACTS
android.permission.BLUETOOTH
android.permission.WAKE_LOCK
com.google.android.c2dm.permission.RECEIVE
com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE

Cela correspond à ces permissions listées sur le PlayStore.

Contacts

Read your contacts

Location

Access precise location (GPS and network-based)
Access approximate location (network-based)

Other

Full network access
View network connections
Prevent phone from sleeping
Play Install Referrer API
Pair with bluetooth devices
Receive data from internet

Le système de permissions ne fonctionne pas tel que vous le pensez

Seconde erreur concernant les permissions, les joueurs pensent que les applications peuvent demander des permissions de façon autonome et directement accéder aux ressources concernés. C'est faux.

Sous Android, les permissions sont divisées en différentes catégories. Google sait que certaines permissions peuvent être abusives dans le but d'obtenir les informations personnelles des utilisateurs. Les permissions pouvant être utilisées pour obtenir des informations sensibles ont été indiquées comme dangereuses par Google. Les permissions dangereuses fonctionnent avec un système de requête, ce qui signifie que l'utilisateur doit explicitement donner accès à celles-ci lorsque l'application souhaite les utiliser. L'application vous demandera de les utiliser uniquement lorsque celle-ci en a besoin. Dès qu'une application souhaite accéder à des ressources qui nécessitent des permissions dangereuses, vous le saurez.

En pratique, pour l'application AXS, celle-ci vous demande la permission d'utiliser vos services de localisation. Si vous le refusez, l'application continuera de fonctionner sans utiliser votre GPS. Celle-ci ne demande pas l'accès à vos contacts, ce que vous pouvez vérifier dans les réglages de votre smartphone. La seule fois où l'application vous demandera accès à vos contacts est lorsque vous souhaitez transférer vos billets à quelqu'un d'autre.

L’application fonctionne sans lui donner accès à vos Contacts ou vos serviteurs de Localisation. C'est simplement une application de billetterie si vous souhaitez qu'elle fonctionne ainsi.

L'article incriminant

Les réactions des joueurs observées ce weekend partent de cet article. Celui-ci présente les politiques de confidentialité de façon assez erroné. L'auteur donne une longue liste de données personnelles.

first and last name, precise location (as determined by GPS, WiFi, and other means), how often the app is used, what content is viewed using the app, which ads are clicked, what purchases are made (and not made), a user’s personal advertising identifier, IP address, operating system, device make and model, billing address, credit card number, security code, mailing address, phone number, and email address, among many others.

Sans contexte, cette information n'est que peu utile. Ce que cette liste nous montre sont les informations que l’application peut traiter. Cela ne nous explique pas ce que l'application fait de ces informations, ni quand celles-ci sont traitées.

Vous pouvez retrouver les politiques de confidentialité de AXS à cette adresse. Celles-ci sont similaires à celles des autres sites. Si vous utilisez les réseaux sociaux, vous donnez déjà accès à bien plus d'éléments.

La liste de données personnelles indiquée par AXS est très ordinaire parmi tous les services que nous utilisons quotidiennement. Partager des informations avec des annonceurs est quelque chose que presque chaque site pratique déjà, dont Reddit.

Il est logique de s'inquiéter de la façon dont les entreprises gèrent nos données personnelles, mais il est également important d'être raisonnable. La liste présentée dans l'article n'indique pas les données qui seront envoyées à des organismes tiers. Il s'agit d'une liste de données personnelles pouvant être traitées par l’application. Une sous-liste de celle-ci représente ce qui sera envoyé aux annonceurs et aux organisateurs d'événements.