En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
ITrust_SOC_leaderboard

Sécurité des données et Pokemon Go

NTT secu_Threat Intelligence report_pave

Pour maître Antoine Cheron, Avocat au Barreau de Paris, l’ affaire « Pokemon Go » met en lumière la légitimité de l’article 25 du règlement général sur la protection des données de l’Union européenne et la nécessité d’appliquer l’approche « privacy by design ».

Samedi, en début d’après-midi, les utilisateurs de Pokemon Go ont signalé des difficultés pour accéder au jeu phénomène. C’est un groupe de hackers, la PoodleCorp qui a revendiqué sur Twitter la paternité du bug. Ce fait divers montre que l’instrumentalisation de Pokemon Go à des fins malveillantes est une réalité qui ne fait que commencer.

En effet, depuis sa sortie le 7 juillet aux Etats Unis, Australie et Nouvelle Zélande, les défaillances du système de Pokemon Go ne cessent de faire parler d’elles. Victime de son succès, les serveurs sont dépassés et les joueurs du reste du monde ont trouvés de multiples astuces pour accéder à l’application mobile, à leurs risques et périls.

Une mise à jour déjà effectuée afin de rationner la collecte de données

Quelques jours après sa sortie, des voix se sont élevées contre l’appétit disproportionné du jeu Pokemon Go en données personnelles. Pour télécharger l’application sans créer un profil spécifique, il fallait lui donner un accès intégral aux comptes Google ce qui revenait à lui livrer sans confession ses emails, fichiers, photos, historiques de recherche etc.

Quelle utilité à collecter autant de données sur les joueurs ? Interrogé en ce sens, le développeur du jeu, le studio Niantic, a évoqué une erreur qui serait vite corrigée. C’est chose faite puisqu’une mise à jour a été effectuée pour restreindre l’accès de l’application à l’adresse électronique et au nom d’utilisateur des joueurs.

La promptitude d’action des responsables de Pokemon Go pour corriger cette inquiétante anomalie peut renforcer la confiance des utilisateurs en l’application d’un point de vue interne, ce qui est cependant loin d’être le cas s’agissant des éléments externes.

Pokemon Go, un nid à opportunités pour les cybercriminels

Quelques jours après sa sortie, il a largement été relayé dans les médias que Pokemon Go avait été utilisé par des malfrats pour repérer leurs potentielles victimes, voire les appâter vers des zones isolées pour mieux les dépouiller.

Si les risques liés à l’utilisation du jeu peuvent être physiques, tangibles, ce sont par définition les cybercriminels qui trouvent en Pokemon Go un terrain de prédilection pour commettre leurs méfaits. Et la frénésie collective autours de ce jeu révolutionnaire ne fait que leur faciliter le travail.

En effet, le jeu n’étant pas sorti simultanément dans le monde, les nombreux fans des jeux Pokemon se sont naturellement tournés vers des sites tiers pour télécharger la version Béta de l’application. Le succès a été tel que la suggestion de Google à « Comment télécharger… » est très rapidement devenue «…Pokemon Go ».

Le résultat d’une sortie mal anticipée

Le développeur Niantic ne s’est pas préparé au succès planétaire de Pokemon Go, ce manque d’anticipation manifeste explique le grand danger lié à la protection des données personnelles de la communauté de gamers. Si les serveurs avaient été prêts, la dernière attaque évoquée n’aurait pas été possible si facilement, car elle consistait à envoyer de multiples requêtes à partir de différents endroits de manière simultanée pour rendre le service instable et même indisponible.

De la même manière, si tout le monde avait pu profiter de la sortie officielle de Pokemon Go en même temps, il n’aurait pas été nécessaire de trouver des fichiers piratés pour jouer. Par exemple, le malware DroidJack qui prenait en fait le contrôle à distance des téléphones n’aurait pas autant circulé.

Nintendo ne cesse de faire des demandes à Google pour faire supprimer les liens de téléchargement aux versions clandestines du jeu, porteuses de potentiels virus pour s’emparer des données personnelles des utilisateurs. Cependant, la meilleure solution resterait de rendre universelle la version officielle, et de la sécuriser un maximum en interne.

La nécessité d’appliquer l’approche « privacy by design »

C’est pourquoi, plutôt que tenter d’intervenir a posteriori il aurait été plus judicieux d’agir de manière proactive et préventive en intégrant la sécurité des données comme une priorité dès la conception même de l’application. Le besoin de faire une mise à jour seulement quelques jours après la sortie de l’application démontre que cela n’a aucunement été le cas s’agissant du développement de Pokemon Go aux Etats-Unis.

L’approche dite « Privacy by design » vise à ce que des mesures techniques et organisationnelles appropriées garantissent que seules les données à caractère personnel nécessaires à la finalité du traitement soient traitées, et que ces dernières soient efficacement protégées contre les risques de perte dès la mise sur le marché du produit ou service en question.

Cette affaire met en lumière la légitimité de l’article 25 du règlement général sur la protection des données de l’Union européenne qui imposera aux entreprises concevant de nouveaux produits et services de respecter cette approche à partir du 25 mai 2018, et ce sous peine d’être sanctionnées. Comme le dit l’adage, « Mieux vaut prévenir que guérir », et Nintendo comme Niantic l’ont appris à leurs dépens.

Auteur : Juliette Paoli

Sécurité des données et Pokemon Go
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • RGPD : la CNIL regrette "le calendrier retenu pour l’adaptation du droit français"

    La CNIL a rendu le 30 novembre 2017 son avis sur le projet de loi…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Les attaques IoT vont augmenter, prédit NordVPN

    Pour Marty P. Kamden, directeur marketing de NordVPN, un fournisseur de VPN (réseaux privés virtuels)…

    > En savoir plus...
Etudes/Enquêtes
  • Secteur IT : une croissance annuelle de l'emploi de 5 % !

    Les entreprises de services du numérique (ESN), les éditeurs de logiciels et les sociétés de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global K_Data scientist_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

    > Voir le livre
  • Le paiement en 2050 et au-delà

    > Voir le livre
banniere_FIC2018_skycrapper