Path télécharge votre carnet d'adresses sur ses serveurs

Anthony Nelzin-Santos |

PathLe développeur Arun Thampi voulait observer le fonctionnement de Path afin de réaliser une application Mac pour ce réseau social, il a découvert au passage que l'application iOS téléchargeait l'intégralité du carnet d'adresses de l'utilisateur sur les serveurs de la société. Il a observé ce phénomène en utilisant mitmproxy pour étudier les communications de Path avec ses serveurs — on peut aussi utiliser Charles pour le faire, et constater que le carnet d'adresses part sous la forme d'un fichier plist. Le développeur a publié un pas-à-pas permettant d'étudier ce comportement.

Path est loin d'être la seule application n'ayant pas forcément besoin du carnet d'adresses à manipuler ses données sans avertir l'utilisateur — toutes violent la section 17.1 des règles de l'App Store. Path pose cependant des problèmes supplémentaires : les données sont envoyées sur des serveurs sous une forme lisible, alors que la plupart des applications extraient certaines données en local, les chiffrent, et ensuite les envoient. Il faut néanmoins veiller à ne pas trop vite faire de procès à Path : son CEO et co-fondateur Dave Morin, qui est passé notamment par Apple et Facebook, a immédiatemment réagi.

Répondant à la fois à l'article d'Arun Thampi et aux commentaires du développeur Matt Gemmell, Morin a expliqué que le téléchargement du carnet d'adresses était destiné à « aider l'utilisateur à trouver sa famille et ses amis et à s'y connecter rapidement et efficacement, ainsi que pour les notifier de l'inscription d'un ami ou d'un membre de la famille à Path. Rien de plus. » Il a indiqué que la version 2.0.6 de Path, en attente de validation chez Apple, permettra à l'utilisateur de clairement spécifier s'il veut ou non que Path utilise son carnet d'adresses pour cette opération — ce que l'application Android fait déjà.

Il est ouvert à un changement de fonctionnement de Path, qui pourrait dans le futur se contenter d'extraire les seules adresses de courriel, qui seraient chiffrées — puisque seule l'adresse e-mail est utile pour l'opération de notification d'une nouvelle inscription. Enfin, il enjoint les utilisateurs désireux de supprimer leurs données de serveurs de Path à en faire la demande à l'adresse service@path.com.


Tags
avatar drkiriko | 
Smartphone et données privées ça ne va plus trop ensemble. Encore un exemple, même si le dev de l'app peut être sans arrière pensée, sans mauvais objectifs, il possède parfois les clés de chez nous...
avatar RaZieL54 | 
Question: combien ça peut rapporter au plus de vendre (et a qui) un fichier d'adresses complet et certifie a l'heure actuelle?
avatar WalterWhite | 
Ça craint trop, nos données sont à la merci de développeurs peu scrupuleu. Quand a l'auteur de path, il n'a pas a extraire les données sans le consentement ...
avatar davmacgeneration | 
"Il faut néanmoins veiller à ne pas trop vite faire de procès à Path" C'est vrai qu'à présent on devrait être habituer et trouver normal que des gens biens intentionnées rentrent chez nous et se saisissent de données confidentielles sans notre accord. Alors aucune raison de s'alarmer ni de faire "un procès" C'est une blague Anthony ou tu es sérieux ?
avatar AuGie | 
@Manueel : +1 Et puis ca ne change rien qu'il soit passé par Apple! A moins que cela ne le béatifie aux yeux de l'auteur?
avatar hellhasnofury | 
Il y a plusieurs critiques qu on peut faire sur le sujet. La première : J utilise Path et l application se "rapproche" de la corbeille. La seconde "Avoir confiance à qui ? " Si, c est pas malheureux tout ça :))
avatar davmacgeneration | 
@Anthony La rapidité de réaction ne supprime pas la faute. Je ne veux pas que qui que ce soit s'introduise chez moi et me dérobe des données personnelles, qu'il soit Facebook, Google ou une petite société. Je pense que c'est une erreur de minimiser ce "crime" et qu'il doit être poursuivi juridiquement afin qu'il ne soit plus banalisé. Alors hurler ? certes non :-) condamner ? sans hésitation. Pour ce qui est d'Apple, là, j'ai l'impression que tu dérapes : De quel "crime" parles-tu ? 15 jours pour répondre ? mais répondre de quoi ?
avatar davmacgeneration | 
Merci Anthony et bonne journée :-)
avatar Steve Gosselin | 
Ces messieurs corrigent le tir rapidement parce qu'ils savent ce qu'ils risquent si rien n'est fait. C'est pas du bon sens. Ensuite ils stipulent sur leur site qu'ils respectent la vie privée.. Faux. De la part d'une société comme celle de Path, je trouve que ça fout les boules...
avatar iphonele | 
Moi qui envisageait d'utiliser Path pour rester en contact avec ma famille partie vivre aux USA ! Je vais en rester au bon vieux mail.
avatar RaZieL54 | 
Excellente reaction. Le pire dans cette histoire, c'est que toutes les arnaques que l'on nomment "réseaux sociaux" n'apportent, a l'utilisateur, rien de plus que ce qui existait déjà depuis la création de l'Internet et du Web: -le mail -le chat -Les pages web et sites personnel -les maillist Il y a juste des gens qui ont trouve le moyen d'exploiter la betise et la paresse de leurs concitoyens pour les transformer en produits qu'ils vendent et revendent a d'autres escrocs... Attention, Facebook va rentrer en bourse et tous les comptes sont lies a des numéros de téléphones...
avatar jesopog | 
Je Pense que je vais allé de ce pas corriger ma note de path dans l'itunes store !
avatar lgda | 
C'est vraiment le moment de légiférer sérieusement ou de faire respecter la législation quant elle existe avec ces connards se sociétés qui pensent que tout leur appartient. Sinon en effet il devient nécessaire que chaque application informe, au moins au premier démarrage, des données qu'elle transmet à l'exterieur, chez qui, pourquoi et à quelle fréquence. Ceci dans un message clairement compréhensible par un utilisateur moyen et non pas en techno-langage perdu à la 17eme page d'une licence d'utilisation. Toute infraction donnant lieu à un bannissement de l'appStore et des poursuites judiciaires ! Si il fait en arriver là pour calmer les indélicats c'est bien dommage mais que grand mal leur fasse. C'est maintenant qu'il faut agir sinon dans 15 ans la collecte de toutes sortes d'infos sera considérée comme normal voir même s'y opposer deviendra suspect...
avatar napuconcture | 
Sur Android tu as un mécanisme qui liste ce que l'application à le droit de faire par exemple pour Google+ qui utilise plein de choses : https://market.android.com/details?id=com.google.android.apps.plus&feature=search_result#?t=W251bGwsMSwxLDEsImNvbS5nb29nbGUuYW5kcm9pZC5hcHBzLnBsdXMiXQ.. => Onglet autorisations. De plus il existe certaines applications (qui nécéssitent cependant le rootage du téléphone) qui permettent pour chaque Application de bloquer certaines autorisations.
avatar ATLANTA125 | 
@lmouillart : Certes ce genre de chose sur Android donne plus de contrôle. Mais comme d'hab, c'est tout sauf simple et agréabme d'utilisation: 98% des utilisateurs d'android (les non-geeks) ignorent complètement cela et ne veulent pas s'en encombrer. Une alerte au démarrage de l'app, c'est 3 pauvres lignes de code. Donc oui, ils se foutent de la gueule du client, et en plus le font sans respecter les règles. Leur app ne devrait plus figurer sur le store, jusqu'à ce que tout soit fait proprement.
avatar napuconcture | 
Je suis d'accord, c'est exactement les comme les gens qui venlent un iphone avec un contrat orange ou un contrat d'assurance habitation et qui les signent sans les lire, soit >90% des clients je pense. Idem quand tu signe ton contrat de licence et d'utilisation avec facebook ou tu leur dit que tu leur cède les droits sur tes données, que tu les autorise a revendre tes donnés a des tiers, qu'il se servent de te données pour faire de la pub à des tiers etc... Que tu ne soit pas content car à ton insu le mobile puisse prendre des photos, lire tes contact, ta position les envoyés ... Oui. Que tu ne le soit pas alors qu'au moment de l'installation il te le demande, ou qu'après coup il te dise ce qu'il est autorisé à faire. C'est plus curieux.
avatar RaZieL54 | 
Tu as tout a fait raison: le fait qu'une fonction existe ne suffit pas, il faut qu'elle soit connue, documentée et utilisable facilement par l'utilisateur le moins doue... C'est un peu comme les décisions administratives d'aménagement publics, dont les plans et annonces sont légalement disponibles pour le citoyen: au fond d'un classeur, au fond d'une armoire blindee, au fond d'un couloir, dans un sous-sol, non indique et dans un bâtiment ou l'on ne peut accéder que suite a un rendez-vous (tres difficile a obtenir) et en présence d'agent assermentes (extrêmement peu disponibles). Et bien évidement ces décisions ne sont jamais publiées dans des media consultes par la majorité des gens (qui d'ailleurs ignorent même l'existence de ces publications)...
avatar lgda | 
Oui c'est gentil, je ne doute pas qu'il existe des trucs bien sur Android mais moi je suis sur iOS, et puisqu'on parle de iOS ici j'aimerais qu'en installant une app sur mon iDevice je n'ai pas à me poser de questions. La législation devrait valoir pour tous, le mécanisme de contrôle peut être mis en place par Apple pour l'appStore, pour les autres à eux de voir. Dans le cas de ton exemple le contenu de l'onglet "AUTORISATIONS" devrait s'afficher au premier démarrage d'une app et être le plus concis et clair possible pour être lu et compris par l'utilisateur.
avatar napuconcture | 
Dans le cas de ton exemple le contenu de l'onglet "AUTORISATIONS" devrait s'afficher au premier démarrage d'une app et être le plus concis et clair possible pour être lu et compris par l'utilisateur. Sur Android c'est le pour le Market Google via le web et le mobile. Pour iOS effectivement je trouve que cela manque beaucoup car avec 500 000 apps chez Android et iOS il y a pas mal de "margoulins" qui traînent. Sur ce point c'est aux utilisateurs/journalistes de faire des campagnes de lobbying auprès d'Apple. Surtout qu'avec les mécanismes de sandbox d'iOS ce qui est affiché comme info par le Market Android est déjà présent dans les applications iOS, il manque juste à ce que iTune l'affiche a l'utilisateur, ce qui n'est ni très long ni bien compliquer à coder.
avatar lgda | 
"Sur Android c'est le pour le Market Google via le web et le mobile.[..] il manque juste à ce que iTune l'affiche a l'utilisateur." En effet, au moment de l'achat c'est une bonne chose afin de pouvoir décider ou non de cet achat. Par contre cette information devrait apparaitre en splashscreen quel que soit le mode d'achat et non pas un onglet à aller chercher (donc que la majorité des utilisateurs lambda ne verra pas).
avatar napuconcture | 
"Par contre cette information devrait apparaitre en splashscreen quel que soit le mode d'achat" : c'est le cas : sur le smartphone/tablette ou via le web lors de l'achat tu as une fenêtre avec : le non de l'appli, l'éditeur du soft, un rappel de son icone, son tarif et la liste des autorisation qu'il va demandé avec une petite explication sur chacune de ces autorisations.
avatar koluchon | 
Je viens à l'instant de changer ma note et mon appréciation sur Path dans le store. Je me suis aussi fendu d'un email de protestation au developpeur. C'est fort dommage car je voyais en Path le contraire exact de Facebook… Je suis déçu et j'attend de voir sa réponse. Je pense continuer de l'utiliser mais cela casse un peu la confiance.
avatar tigre2010 | 
Il en est quoi de cette société (oublié le nom) qui pompait toutes les infos des smartphones sur le marché ?
avatar napuconcture | 
Tu parles de Carrier Iq ?

CONNEXION UTILISATEUR