Combien d'applications pour smartphones conservent, à l'insu de l'utilisateur, l'intégralité de son carnet d'adresses ? Aucune, aimerait-on répondre. Mais en réalité, la liste s'allonge au fil des jours depuis qu'un développeur curieux a découvert ce genre de travers chez l'application Path, la semaine dernière. La polémique a éveillé les soupçons de journalistes au Los Angeles Times, qui ont décelé des pratiques similaires du côté de Twitter. Aujourd'hui, Facebook, Instagram, Yelp et Foursquare sont également accusés de recel de données privées. Cette gourmandise se révèle très répandue, chez les éditeurs d'applications iPhone en particulier.
Path est une application pour iPhone et Android qui permet de «partager votre vie avec ceux que vous aimez» via une sorte de mini-réseau social conçu pour inonder ses amis de détails passionnants sur sa vie privée, comme «le lieu où vous êtes» , «avec qui vous êtes» , «les nouvelles villes que vous traversez» , «l'heure de votre réveil» et «votre planning de sommeil» . Et pour qu'un maximum de personnes bénéficient de ces informations indispensables, Path incite l'utilisateur à nouer le plus de contacts possible. Il lui envoie, par exemple, un e-mail à chaque fois que «ses amis ou sa famille rejoignent Path» .
Comment le savent-ils ? C'est simple : comme l'a découvert Arun Thampi en fouillant dans les fichiers de l'application, Path scanne le répertoire téléphonique de ses utilisateurs dès son installation. Il relève tous les noms, prénoms, adresses e-mail et numéros de téléphone enregistrés sur l'appareil. Puis il envoie cette base de données aux serveurs de Path, qui la stockent. «Je ne me rappelais pas avoir donné à Path l'autorisation d'accéder à mon carnet d'adresses , raconte Thampi sur son blog . Alors je me suis créé un tout nouveau compte et j'ai fait le même constat : mon répertoire a fini dans les mains de Path.» L'application a donc fait son marché dans son téléphone-hôte, sans en demander l'autorisation préalable ni même afficher le moindre avertissement.
L'affaire Path a vite été résolue : dès la première vague de protestations outrées postées sur Twitter par les utilisateurs de Path, le PDG Dave Morin a présenté ses excuses en bonne et due forme sur le blog de l'entreprise : «grâce aux retours que nous avons reçus de votre part, nous comprenons maintenant que la fonctionnalité "Ajouter des amis" était abusive. Nous sommes profondément désolés si vous avez été gênés par cette exploitation de votre répertoire.» Dans la même lancée, il annonce avoir supprimé de ses serveurs l'intégralité des carnets d'adresses aspirés par son application, et propose au téléchargement une nouvelle version de Path, plus transparente. «Dans Path 2.0.6, vous avez le choix de nous transmettre ou non vos contacts téléphoniques. Si vous acceptez et changez d'avis par la suite, envoyez-nous un e-mail et nous traitement rapidement votre demande.»
Si Path a honnêtement rattrapé sa bourde, la médiatisation de l'affaire a permis de soulever quelques questions gênantes sur le fonctionnement de l'AppStore, le marché d'applications de l'iPhone. A aucun moment -- ni en lisant la fiche d'une application, ni au moment de la télécharger --, l'utilisateur n'est informé des «droits» qu'elle nécessite. Sur l'Android Market, au contraire, la liste des autorisations demandées par une application apparaît clairement, et de manière très détaillée, avant le téléchargement.
La liste des autorisations demandées par l'application officielle de Twitter, sur l'Android Market
L'opacité de l'AppStore sur ce point ne veut pas dire qu'Apple cautionne la récupération non déclarée de données personnelles. «Les applications qui collectent ou transmettent des carnets d'adresses sans l'autorisation préalable des utilisateurs violent nos recommandations» , a répondu Tom Neumayr, porte-parole d'Apple, au site AllThingsD . Selon lui, les responsables de l'AppStore travaillent à rendre tout cela plus clair : «dans une prochaine mise à jour d'iOS, toutes les applications qui souhaitent accéder aux répertoires devront disposer de l'accord explicite de l'utilisateur.»
Mais en attendant ce futur AppStore plus transparent, la chasse aux applications abusives est ouverte.
Le Los Angeles Times s'est intéressé mardi au cas de l'application officielle de Twitter. Le journal a étudié la façon dont cette aplication permet de «scanner» son répertoire téléphonique pour trouver des connaissances inscrits sur Twitter, et révélé que «l'entreprise conserve l'intégralité du carnet d'adresses ainsi récupéré pendant 18 mois.» Twitter a confirmé.
La porte-parole Carolyn Penner répond au LA Times que rien n'est prévu pour l'instant pour raccourcir ce délai de conservation, mais qu'une future mise à jour devrait apporter plus de transparence. La version pour iPhone dira «Upload your contacts» et la version Android «Import your contacts» , au lieu de l'actuel «Scan your contacts» . Elle rappelle aussi qu'il est possible de retirer manuellement ces informations des serveurs de Twitter, en se rendant sur cette page .
D'autres sites spécialisés en nouvelles technologies ont relevé les mêmes pratiques sur de nombreuses applications populaires. The Next Web et The Verge , par exemple, ont décidé de «tester autant d'applis que possible pour déterminer lesquelles récupèrent et stockent votre répertoire.» Leurs résultats provisoires :
Les applications qui importent les contacts automatiquement, sans avertissement
- Foursquare
Les applications qui importent les contacts quand l'utilisateur initie une action, pas toujours présentée de façon très claire
- Angry Birds
- Cut-The-Rope
- Gowalla
- Foodspotting (qui utilise en outre via un protocole HTTP non sécurisé)
Les applications qui affichent un avertissement explicite
- Instapaper
- Voxer
- Facebook (qui a fait des efforts remarquables pour sécuriser et limiter les transits de carnets de contacts)
Les applications qui n'importent pas les contacts du tout
- Skype
- Shazam
- Pandora
- Rdio
- Meebo
- Netflix
- Google+
- TripIt
- Color
Pour forcer Apple à faire de cette question de transparence une priorité, deux Sénateurs américains ont écrit une lettre à son PDG, Tim Cook. Ils réclament pour le 29 février au plus tard des explications officielles et précises sur la gestion des données personnelles dans les applications pour iOS.