Path, « désolé », révise son application

Florian Innocente |

Path a promptement réagi à la polémique née de sa gestion du carnet d'adresses de ses utilisateurs. L'application de réseau social transférait ce contenu vers ses serveurs pour notifier l'utilisateur lorsque ses contacts rejoignaient le service (lire Path télécharge votre carnet d'adresses sur ses serveurs).

Dans un billet intitulé « Nous sommes désolés », Dave Morin, le PDG de Path a expliqué que ces informations avaient été intégralement effacées de leurs serveurs et des modifications ont été apportées à la nouvelle version de Path [2.0.6 – Français – Gratuit – Path Inc.]. Celle-ci réclame l'autorisation de l'utilisateur lorsqu'un accès au carnet d'adresses est nécessaire. On garde aussi la possibilité de faire supprimer après coup ses informations sur les serveurs par l'envoi d'un mail à l'éditeur.

Cette transmission des informations personnelles sans le consentement de l'utilisateur est interdite par la clause 17.1 de l'App Store Review Guidelines. L'éditeur doit aussi préciser l'usage qui est fait de ces données. Mais peut-être manque-t-il à iOS une alerte par défaut lorsqu'un accès de ce type est réalisé la première fois par une application, à la manière de la géolocalisation.

Tags
#Path
avatar hellhasnofury | 
Mais, les appli du réseau "social" font pas la même chose que Path ?? Il est le seul dans ce cas ....
avatar Switcher | 
+1 Le principal investisseur de Path ( Morin ) est un ancien de chez Facebook, qui s'est propagé comme un virus en allant taper dans toutes les listes de contact de l'utilisateur ( carnet d'adresse, comptes aol, hotmail, yahoo, ... ) Dans un autre registre, Omniture, racheté depuis par Adobe, avait des domaines du genre 'ip127_0_0_1' qui permettaient de récupérer tous les cookies de l'utilisateur pour ensuite le pister et mieux vendre son profil d'internaute Personne ne s'était ému de ces pratiques à l'époque, c'est en train de changer et c'est tant mieux !
avatar adrianweatherly | 
As-tu un lien car techniquement je serais curieux comment cela pouvait marcher. Car la norme HTTP ne permet pas de récupérer les cookies d'autres domaines que le sien.
avatar Mobyduck | 
L'app Viber doit probablement aussi transférer le carnet d'adresse sur ses serveurs (sans demande d'autorisation) car elle reçoit une notification push dès qu'un de mes contacts l'adopte.
avatar davmacgeneration | 
@virgilerl Faut donc continuer le ménage et ne pas s'arrêter en début de chemin.
avatar Bryan | 
Il faut reconnaitre que la société a été ultra réactive
avatar eipem | 
@Trollolol Oui c'est un malware, oui il est passé entre les mailles du filet de l'AppStore. Mais le fait que ce programme contrevienne aux clauses de l'AppStore a fait que l'éditeur a réagit rapidement. Le système n'est pas parfait, mais il a le mérite d'exister. Sur Android, le dev t'aurais répondu "Je récupère ton carnet d'adresse, et alors?" et t'aurais eu encore l'air un peu plus con.
avatar adrianweatherly | 
Sur Android, l'utilisateur aurait su et l'aurait validé... A priori, tu ne sais vraiment pas de quoi tu parles !
avatar eipem | 
@yoa Comment tu sais ce que fais un programme sur Android? Tu veux un exemple récent? Carrier IQ Je crois que contrairement à toi je ne me mets pas d'oeillères. En l'occurrence, il n'est pas possible de savoir exactement ce qui se passe sur un téléphone Android. Et encore faut il avoir le temps et les connaissances pour tenter de le faire. Un smartphone est un outil qui est censé me simplifier la vie, pas me la compliquer.
avatar napuconcture | 
Carrier IQ n'était pas une app Android, mais intégré dans le code de l'OS par les opérateurs avec des magouille pour empecher que le système ne le détecte. Sur Android et iOS tu déclare ce que le programme va faire. Sur Android lorsque tu install un programme ça te dit et explique ce qu'il va faire et te demande si tu es d'accord. Si oui cela s'install sinon l'installation est abandonnée.
avatar eipem | 
@lmouillart : Certes, mais ça prouve bien que les agissements d'une portion de code peuvent être cachés à un utilisateur, même capable d'utiliser des logiciels d'observation de traffic. Tu sais bien qu'un logiciel qui a les autorisations Root peut parfaitement faire ce qu'il veut du système, donc l'argument du "c'était pas une appli mais la base du système" ne tient pas vraiment.
avatar napuconcture | 
Les applications root ne peuvent pas s'installer, sauf si tu desactive les système de protection en rootant le smartphone. Donc oui sur Android si on bidouille le système pour couper les mécanisme de sécurité, celui ci n'est plus sécurisé
avatar eipem | 
@lmouillart En cherchant un peu sur internet, j'ai trouvé une application qui pouvait rooter un tel Android en un clic et un reboot. Il y a quelques actions à réaliser qui compliquent un peu la tâche, comme désactiver les pare feu et autres anti-virus (ça m'a étonné d'ailleurs cette histoire d'anti-virus). http://forums.cnetfrance.fr/topic/193517-comment-rooter-android-methode-universelle-de-root/ Tu ne crois pas qu'une application malveillante serait capable d'utiliser ce programme pour rooter un téléphone Android à l'insu de l'utilisateur et en prendre le contrôle total? Genre tu crois installer le dernier Angry Birds fraichement téléchargé et tu installes une saloperie qui prend le contrôle de ta machine ? C'est d'ailleurs exactement le même problème avec les iPhones jailbreakés !
avatar adrianweatherly | 
@joneskind Tu confonds un peu tout. Que ce soir sur iOS ou Android il existe deux type d'applications : - les applications natives installées par l’éditeur de l'OS, le constructeur ou l'opérateur. Celles-ci sont effectivement hors de contrôle que ce soit sur iOS ou ANdroid (l'épisode Carrier IQ présent sur ces deux plateformes est le bon exemple) ; - les applications tierces. Sous Android, leur installation est obligatoirement précédée de la liste des permissions que l'utilisateur doit valider. Typiquement, l'application Path sous Android demande l'accès aux contacts, l'accès Internet, la position et l'accès au stockage. Donc sans l'avoir installée je sais déjà que mes contacts peuvent être balancés sur Internet, chose impossible à vérifier sous iOS. Pour moi, le contrôle par une autorité de confiance est une aberration. Encore plus quant elle n'a pas accès aux sources et ne peut donc pas vérifier le comportement des applications. Enfin pour ce qui est du root, comme le jailbreak, c'est un autre débat puisque l’utilisateur s'autorise à perdre certaine protection.
avatar agerber | 
Ils l'ont pas fait de leur propre volonté.. ! Sans doute la bourde d'un dev pour une société proposant un unique logicilel avec une armada de dev... Avec la faculté de nous prendre pour des c... Un beau malware que cette appli
avatar drkiriko | 
En tout cas path a pris la chose au sérieux et à très vite réagit, donc bravo.
avatar adrianweatherly | 
Encore un exemple, qui prouve aux naïfs, que la validation des applications par Apple est juste un vaste écran de fumée sécuritaire. Le modèle de sécurité d'Android est très perfectible mais de loin bien plus robuste.
avatar eipem | 
@yoa Plus robuste ? Quelle blague ! En quoi il est plus robuste ? Les lois sont faites pour protéger et dissuader. Ne viens pas me faire croire que dans un pays où le cambriolage est légal, il n'y a pas plus de cambrioleurs. Le système d'Apple est perfectible, le système d'Android n'existe pas. Point.
avatar adrianweatherly | 
Propos démagogiques. Je te retourne la question : Dans un pays où le cambriolage est interdit, n'y a t'il pas de cambrioleur ? Si oui, je t'invite à supprimer toutes les mesures de protection (serrures, alarmes, ...) de ton logement pour voir le résultat ! Android et iOS ont un peu près la même architecture de sécurité à savoir le sandboxing des applications. La grosse différence est que Android liste les ressources dont l'application à besoin. L’utilisateur PEUT donc décider si l'application est légitime ou non. D'ailleurs c'est précisément ce système qu'a choisi Apple pour son Mac App Store.
avatar eipem | 
@yoa "Je te retourne la question : Dans un pays où le cambriolage est interdit, n'y a t'il pas de cambrioleur ? Si oui, je t'invite à supprimer toutes les mesures de protection (serrures, alarmes, ...) de ton logement pour voir le résultat !" Je vois que tu as compris où je voulais en venir. Si on met des serrures, malgré les lois, c'est bien qu'elles sont insuffisantes, pas qu'elles sont inutiles. Le SandBoxing d'iOS ou d'Android n'ont absolument rien à voir avec la sécurité dans ce cas précis. Ce n'est pas un virus qui s'installe à l'insu de l'utilisateur, mais un programme installé par l'utilisateur lui-même qui fait une action malveillante. Apple propose de vérifier que les applications de son store ne font pas d'actions malveillantes, à la place de l'utilisateur. Personnellement je n'ai pas le temps d'aller vérifier le code de toutes les applications que j'installe pour vérifier qu'elle font bien ce qu'on leur demande. Donc je réitère: Le système d'Apple n'est pas parfait, le système de Google n'existe pas.
avatar napuconcture | 
Les applications sur le market android sont challangés par des systèmes à automates pour en vérifier et valider leur comportement.
avatar eipem | 
@lmouillart : Il me semble que c'est assez récent Tu crois que ce n'est pas le cas sur l'appStore ? Il n'y a pas que l'Android Market... Les Andrusers qui téléchargent des applis piratées sont nombreux. Les Malwares se trouvent là. C'est d'ailleurs le seul moyen facile d'installer un malware sur un système UNIX. Je ne dis pas que le système d'Apple est parfait, loin de là, mais quand j'entends que le système d'Android est plus robuste, j'me marre doucement quand même...
avatar Zoupinou | 
Et what's App?
avatar davmacgeneration | 
@Trollolol, yoa bla bla bla les troll troll... Sous Androïd, c'est l'os même qui est un malware alors là, c'est un peu plus dur à s'en débarrasser... troll troll
avatar davmacgeneration | 
@Lesjir Alors quelles sont les applis que tu as rencontrées et qui cherchaient à accéder à ton carnet d'adresse
avatar iphonele | 
Autoriser une application à accéder à ses contacts pourquoi pas : c'est le cas de plein d'applications. Les récupèrer pour les balancer sur un serveur c'est une autre histoire. Donc même la question posée par la nouvelle version reste complètement ambigüe.
avatar marc_os | 
Sous jailbreak on peut contrôler les accès au carnet d'adresse.
avatar marc_os | 
@naas Murde toasted

CONNEXION UTILISATEUR