Les développeurs vendant leurs applications Android sur Google Play récupèrent des informations assez précises sur leurs clients qui n'en sont pas suffisamment informés. Un développeur iOS qui a porté son app sur Android s'en est étonné sur son blog, un site australien s'en est fait l'écho et Google est intervenu pour faire modérer la tonalité du sujet.

Le 13 février dernier, le développeur australien Dan Nolan publie un billet sur son blog, intitulé "Massive Google Play privacy Issue". Auteur sur iOS d'un générateur d'insultes [0,89€] inspiré par la personnalité d'un ancien Premier ministre australien, il en a réalisé une adaptation sur Android, vendue sur Google Play [0,83€]. Sur l'App Store, son logiciel s'est récemment hissé à la première place dans la boutique australienne, et quelques centaines de versions Android ont été écoulées.

En consultant son compte développeur sur Google Play, il s'est étonné de voir qu'il disposait de plusieurs informations sur chacun de ses clients. L'inverse de ce qui est fourni par Apple sur l'App Store.

Ainsi, pour chaque transaction, il a l'adresse électronique du client, sa région géographique (mais pas l'adresse exacte) et dans certains cas le nom complet de la personne. Cet achat d'un logiciel utilise le système de paiement que Google propose aussi à des vendeurs de biens physiques. Ils peuvent avoir besoin de plus d'informations pour contacter leurs clients, par exemple dans le cadre de la livraison.

Selon les circonstances, un développeur pourrait croiser ces informations pour retrouver un client ayant laissé un avis négatif sur Google Play et le harceler. On verse là dans un cas particulier, mais l'email peut être utilisé pour bien des choses.

Ce qui a également surpris Dan Nolan dans le cas présent, c'est que rien n'informe le client que de telles données seront transmises aux éditeurs de logiciels. Il n'est pas clair non plus si cela concerne aussi les logiciels gratuits.

En comparaison, l'App Store est une boîte noire pour les développeurs. Ils obtiennent d'Apple le nombre de logiciels vendus, la ventilation par pays, et rien de plus. On ne descend même pas à un niveau régional. On peut à la limite retrouver l'auteur d'un avis critique laissé sur l'App Store, mais cela peut s'apparenter à retrouver une aiguille dans une botte de foin puisque tout dépend du pseudo laissé dans les commentaires sur iTunes. Apple a élevé un véritable mur entre les développeurs et les clients de l'App Store.

De ce que Nolan a pu apprendre par la suite, jusqu'en octobre ou novembre dernier, Google fournissait aux développeurs un alias plutôt que le véritable email. Puis la pratique a cessé. Décision délibérée de la part de Google ou changement dont toutes les conséquences n'ont pas été correctement évaluées, la question est posée.

Ce billet a été repris par la suite sur un site australien. Un autre développeur resté anonyme y a expliqué que contrairement à l'App Store, Google demandait aux développeurs de fournir eux-mêmes les informations relatives au calcul des taxes, et qu'il était donc nécessaire de connaître la région d'achat. Mais que cela n'expliquait pas pour autant la présence des autres données, dont l'email et parfois le nom complet.

À la suite de cette publication, Google a demandé au site de relativiser la qualification de "défaut" qui avait été utilisée dans le titre et l'article. Les occurrences sur ce terme ont été passées entre guillemets, explique l'auteure qui a dû obtempérer à la demande de son site. Elle s'en explique en commentaires et juge toujours anormal que ces informations soient transmises sans que les clients n'en soient avertis et ne puissent s'y opposer. Google n'a pas abordé cette question lorsqu'il a contacté News.com pour intervenir sur le contenu de cet article.

[via AppleInsider]