Comme vous l’aurez (largement) constaté, il est le jeu du moment. En à peine une semaine, "Pokémon Go", développé par Niantic pour Nintendo, s’est hissé au premier rang des applications les plus téléchargées des États-Unis et a pris des tournures de phénomène de société. Même chose en France, où de nombreux joueurs ont trouvé un moyen de s’approprier l’application encore non disponible sur le territoire. De son côté, la firme nippone entend déjà les pièces tomber, avec une hausse de 20 % de son action à la bourse de Tokyo et une capitalisation désormais chiffrée à 22,9 milliards de dollars.

Mais un ingénieur informatique de Baltimore spécialisé dans la cybersécurité a fait remarquer dans un post de blog en date du 9 juillet dernier que l’application, téléchargée sur un smartphone iOS, s’octroyait absolument tous les droits sur le compte Google du joueur.

Explications : une fois téléchargée, l’application requiert une connexion en créant un profil sur le site pokemon.com ou en associant le jeu, pour gagner du temps, à son compte Google. Rien d’inhabituel jusqu’ici, de nombreuses applications proposant la même démarche. Sauf qu’Adam Reeve a noté, en s’introduisant dans les paramètres de son téléphone, que "Pokémon Go" avait littéralement pris le contrôle de toutes ses applications Google, boîte Gmail comprise. 

Un air de "malware"

Dans son texte, l'ingénieur explique : "Normalement, vous devriez voir s’afficher un petit message avertissant des données auxquelles l’application aura accès – quelque chose du genre 'Cette application pourra visualiser votre adresse e-mail et votre nom'. Mais pour une raison obscure, rien n’apparaît. J’ai quand même poursuivi la démarche et je me suis connecté." 

Avant de poursuivre : "'Pokémon Go' a un accès total à notre compte Google (…) Que je sois bien clair, Pokémon et Niantic peuvent donc lire tous vos e-mails ou en envoyer à votre place". Selon lui, l’application, qui prend donc des allures de malware, est aussi capable d’accéder à nos documents Drive, à nos photos ou encore de naviguer dans nos historiques. 

Reeve affirme avoir "annulé l’accès à son compte et effacé l’application". D’autres utilisateurs réfutent néanmoins les dires de l’ingénieur, qui a fini par se demander sur Twitter si les développeurs n'étaient pas en train de corriger le problème. 

"Aucune information collectée"

En effet, Google et Niantic se seraient déjà penché sur le problème. Contacté par Mashable, Niantic a répondu à ces allégations : "L'application requiert par erreur un accès total au compte Google de l'utilisateur", mais assure qu'aucune data n'est mise en péril. "'Pokémon Go' a seulement accès aux informations basiques (le nom d'utilisateur et l'adresse e-mail), et aucune autre information n'a été collectée". L'éditeur, un temps détenu par Google, a ajouté que le géant du Web lui avait confirmé que rien n'avait été dérobé. Mashable a, de son côté, contacté Google.

Évidemment, il est difficile de croire que les deux entreprises ont délibérément créé cette faille pour collecter des données utilisateurs. Mais n’oublions pas la mésaventure qu’avait subi Nintendo au début de l’année 2011 : un pirate informatique espagnol avait dérobé une liste de près de 4 000 de ses clients Nintendo, menaçant l’entreprise de divulguer les noms sur le Net et de poursuites pour "négligence". L’homme, qui avait fini par être arrêté, comptait soutirer ainsi de l’argent au géant japonais.

Alors que "Pokémon Go" laisse déjà des portes grandes ouvertes sur la vie privée de chacun en utilisant de manière constante le GPS du téléphone – en accord total avec ses joueurs, bien sûr, puisque la géolocalisation est le principe –, ses lacunes sécuritaires pourraient s’avérer un peu plus graves pour Nintendo – et pour ses adeptes – que les menaces d’un seul hacker. 

Quelque chose à ajouter ? Dites-le en commentaire.