Que dire alors de d'application pour Freebox telles que:
Seedbox Mobile, Freebox Downloader, FreeGo, Freecorder et d'autre...
Qui sont toutes des applications développées par des tiers...
Elles aussi mémorisent nos identifiants, mots de passe, adresses IP...
Les seules applis développées par Free sont: Annu, l'Aktu Freebox et Freebox Connect.
Freebox Connect que l'on attend depuis plus de 9 mois pour iPhone
Bonjour,
je suis le développeur de Freebox Downloader.
Le problème de confidentialité des données est un vrai problème, surtout dans le cas d'une application comme la mienne, on entre potentiellement toutes les informations permettant se se connecter à l'interface de gestion de la Freebox Server (avec ces informations, quelqu'un de mal intentionné pourrait donc lancer des téléchargements sur la freebox et consulter le contenu du disque dur de la freebox server).
Bien évidemment je vais vous dire que mon application ne communique qu'avec votre freebox (celle entrée dans les paramètres de la configuration) et qu'à aucun moment elle n'envoie d'informations à un autre serveur ! Mais comment puis-je le prouver ?
Je pourrais dire que :
- Si elle a été validée par Apple c'est qu'elle est sûre ... Ce qui est faux car on a déjà vu qu'Apple ne vérifie absolument pas ce point là !
- Il suffit de mettre en place une solution à base de proxy http/https (genre avec charles proxy) pour pouvoir analyser tout le trafic entrant/sortant de l'iPhone (et donc des applications installées). C'est comme ça que la plupart des cas de "vol" de données ont été détectés. Malheuresement, il suffirait que l'application soit un peu maligne pour avoir des chances de passer en dehors des mailles du filet (n'envoyer les données volées que si on est connecté en 3G, n'envoyer les données qu'au n ième lancement de l'application ...)
- Mon nom est associé à cette application et se faire attraper à faire quelque chose d'aussi grave, ça grille une personne à vie (et une e-réputation négative ça peut faire de gros dégâts). A la limite c'est le meilleur argument que j'ai à donner ... Mais ce point ne s'applique pas dans tous les cas ...
Après on pourrait imaginer des sortes de labels délivrés par des organismes de confiance. Ces organismes analyseraient le code source de l'application, vérifieraient qu'il n'y a rien de suspect dans l'application et valideraient que la version disponible sur les stores correspondent bien à ce qui a été validé de leur côté ! Mais bon ça serait alourdir le process de mise à jour, ça serait trop coûteux pour un petit développeur comme moi et aucun système n'est infaillible ...
Il me semble qu'il y avait une application pour iPhones jailbreakés qui fait un peu comme little snitch sur mac : pour chaque nouvelle adresse que l'iPhone essaye de contacter, on a une fenêtre nous demandant si l'on souhaite accepter ou refuser que l'iPhone contacte ce serveur.
Cette solution, associée à des modifications de la part d'apple pour systématiquement demander l'accord de l'utilisateur pour qu'une application puisse accéder aux données personnelles de l'utilisateur, pourrait permettre aux utilisateurs avancés de détecter une tentative de vol de données personelles. Mais ça rendrait le système lourd à utiliser (à la windows Vista ...) !