Votre intimité face à Android et ses autorisations, première partie.

Chez moi, ça commence par ça :

Après, il m’a fallu pas mal de lecture….

C’était le 06 juin, dans ce tweet envoyé un peu à l’arrache, je m’étonnais de la mise à jour des conditions d’affichage des autorisations dans les applications pour Android, je me suis, depuis, étonné du traitement de cette information, pour ainsi dire pas reprise.

Vous pouvez retrouver les conditions à cette adresse. Le principal changement opéré par Google, c’est la façon dont sont affichées les modifications des permissions dans les applications, en gros, les applications qui nécessitent une modification de privilèges n’afficheront plus automatiquement cette demande.

Dans le discours de Google, cette mise à jour est là pour simplifier l’affichage des autorisations, ce qui est d’ailleurs vrai : les autorisations d’une section non autorisée par le passé seront affichées. Peu importe que les mises à jour automatiques soient activées ou non, il faudra que l’utilisateur accepte d’installer l’application si elle a besoin d’accéder à une nouvelle section d’autorisation.

Et c’est là que le problème se situe, pour moi, dans cette « nouvelle section d’autorisations ».

Pour bien comprendre, il faut s’attarder un peu sur le fonctionnement des autorisations, sous le système android : les autorisations marchent par « rubriques », par exemple, une pour l’identité, une autre pour les photos, une autre pour les paramètres réseaux et ainsi de suite. Dans ces rubriques, il y a les autorisations, comme « lire les informations des contacts », par exemple, ou encore « modifier les informations des contacts ».

L'affichage des rubriques
L’affichage des rubriques
Le détail de ces rubriques
Le détail de ces rubriques

Or, le nouvel affichage des autorisations ne prend en compte que les nouvelles «rubriques, pas la modification de celles déjà autorisées.

En pratique, ça signifie quoi ?

Ça signifie que vous ne savez pas ce que votre application fait. Exemple : Vous avez l’application Facebook, elle dispose des autorisations pour « accéder au contenu de la carte SD ».

Vous mettez cette application à jour, une nouvelle autorisation est requise : « modifier ou supprimer le contenu de la carte SD », mais, parce qu’elle est dans une rubrique déjà autorisée, la mise à jour ne stipulera pas ça, elle affichera quelque chose comme ça :

mise à jour
Une mise à jour qui ne nécessite – officiellement – aucune nouvelle autorisation

 

Le hic, c’est que je sais qu’Adobe Reader a besoin d’une nouvelle autorisation. Je le sais parce que j’ai refusé de le mettre à jour déjà 5 fois, et qu’il n’y a aucune raison pour que cette autorisation disparaisse comme par magie.

Autre exemple : l’application Youtube que j’utilise n’est pas à jour parce qu’elle demande à activer ou désactiver les paramètres de synchronisation de mon téléphone toute seule, chose que je refuse fermement. Seulement, maintenant, ce n’est plus affiché.

Bah, il n’y a qu’a plus rien mettre à jour, et puis voilà.

Oui, non, mauvaise idée. Les applications sont mises à jour parce qu’elles présentent généralement des failles de sécurité, ne pas les mettre à jour pour éviter les autorisations abusives revient donc à s’exposer à d’autres menaces. Vous voilà donc le téléphone entre deux chaises…

Ce choix de Google me semble étonnant : dans un contexte post révélations de Snowden, donner moins de visibilité à ce paramètre m’inquiète, d’autant plus qu’il est admis que les renseignements se servent des applications pour récupérer des données sur les utilisateurs.

C’est aussi un risque plus grand pour l’utilisateur, puisqu’il y a maintenant moins de visibilité sur ce que demande une application.

De l’autre côté, je cherche à comprendre les raisons de cette mise à jour et j’en viens à me dire que c’est peut-être parce que de moins en moins de gens mettaient à jour leurs applications qu’ils ont décidé de faire ça.

Depuis les révélations citées au-dessus, beaucoup de personnes, au moins dans mon entourage large, font plus attention aux autorisations requises. Cette prise de conscience a peut-être dérangé Google et les fournisseurs d’applications sur le Play Store, poussant la firme à modifier l’affichage des autorisations…

Quoi qu’il en soit, j’initie donc ici le premier billet d’une suite, qui découle de cette mise à jour. Le prochain billet sera consacré aux autorisations, dans le détail, ainsi qu’aux autorisations les plus sensibles.

Quant à cette information, c’est peut-être un détail pour vous, mais pour moi ça veut dire beaucoup…. Ne me cherchez pas, je suis déjà parti rédiger le second billet, dehors, loin.

#PRISM, indignation à géométrie variable.

Ce billet est un énorme coup de gueule, considérez-vous comme prévenu(e)s.

De récentes publications (la suite sur votre moteur de recherche préféré) des fuites déclenchées par Edward Snowden, le whisleblower de l’affaire PRISM, attestent d’un grave fait : des instances l’Union Européenne, comme le Parlement Européen, sont sous écoute et infiltrées.

Les données des personnes concernées ne sont plus en sécurité depuis des années et les documents font peur à ces personnes, qui s’indignent d’être espionnées par une puissance étrangère.

La nouvelle fait mal comme un mur en pleine face : les Etats-Unis interceptent les données d’eurodéputés, du Parlement Européen et sans doute d’autres instances.

La réaction du Parlement ne s’est pas fait attendre, c’est un scandale. Ainsi, on retrouve des déclarations qui vont dans ce sens, « scandale », « indignation », « horreur », « les Etats-Unis ne devraient pas espionner leurs alliés » …

Seulement, ces déclarations m’irritent profondément.

Lors de premières révélations sur PRISM, il n’y avait que quelques eurodéputés pour crier au scandale, il n’y avait que quelques députés pour trouver quelque chose à dire sur le sujet.

Fleur Pellerin se montrait rassurante en tentant de minimiser l’affaire PRISM, le président ou le premier ministre ne semblaient pas spécialement inquiets et ce malgré les réactions scandalisées d’une partie du peuple.

Maintenant que des documents attestent qu’ils sont eux aussi concernés par PRISM, ce n’est plus la même chose.

Mesdames et messieurs les représentants de la nation et de l’Union Européenne, laissez-moi vous dire quelque chose : votre réaction est parfaitement inacceptable.

En qualité de représentants, vous avez pour rôle de vous saisir des inquiétudes de vos citoyens, français ou européens, vous ne l’avez pas fait jusqu’à ce que cela vous concerne.

Fleur Pellerin a changé son fusil d’épaule, déclarant que l’administration Obama était sommée de s’expliquer sur PRISM.

Le Parlement fait de même en demandant des comptes à cette même administration, allant jusqu’à menacer de bloquer des accords en cours de négociation. Le président du parlement explique même que si tout ceci était vrai, cela ne pourrait que dégrader les relations entre l’Europe et les Etats-Unis d’Amérique.

Qu’est-ce à dire, messieurs et mesdames de l’Europe ?

Votre comportement est, pour moi, la représentation d’un égoïsme effarant, c’est un manque total de respect envers ceux que vous êtes censés représenter.

Pourquoi n’avoir rien fait avant ? Pourquoi avoir tenté de minimiser le scandale ?

La réponse se trouve peut-être dans un article du Guardian, retiré peu de temps après sa publication.

Il apparait que des pays ont un accord secret avec la NSA et beaucoup de pays européens semblent concernés par cet accord.

C’est peut-être ça, la raison de votre silence. Vous le saviez peut-être et il ne fallait donc pas en parler, mais vous ne saviez pas que tout ceci vous concernait. Maintenant que c’est avéré, vous décidez de vous réveiller.

Quitte à perdre toute crédibilité aux yeux de beaucoup.
Quitte à passer pour des complices de tout ceci.

Vos déclarations sont étranges, votre comportement l’est d’autant plus et je ne pense pas que votre incompétence soit la principale raison de ce cafouillage.

Je me permets donc de vous donner un conseil : l’indignation n’est pas à géométrie variable, vous représentez le peuple et auriez donc du vous saisir de l’affaire PRISM dès son commencement.

Un dernier point : quelque chose me dit que les révélations sur le dossier PRISM ne sont pas terminées, vous devriez peut-être vous réveiller rapidement, ne serait-ce que pour rester crédible aux yeux des citoyens européens qui se sentent concernés par tout ceci.

Ah, et à l’avenir, évitez de réagir uniquement lorsque ça vous concerne, c’est consternant et irrespectueux.