Pikachu, la sécurité et moi.

Sécurité des applications
Pikachu, la sécurité et moi.

La sécurité est partout. Enfin elle devrait être partout. Surtout où on ne l’attend pas. La sortie récente du nouveau « Pokemon Go » en est un bel exemple. Ce jeu est une application pour smartphone lancée par Nintendo. Son concept est simple, inspiré directement de la célèbre licence des Pokemon : il faut les attraper tous !

Mais tant qu’à faire, autant les attraper dans la vie réelle : le jeu s’appuie sur les principes de la réalité augmentée. Vous ne cherchez pas les Pokemon dans un monde virtuel, mais bel et bien ici, au bout de la rue, dans votre jardin ou chez le voisin – à grand renfort de géo-localisation. Pour les gamers et les technophiles, rien de neuf, c’est ni plus ni moins que le principe du jeu vidéo Ingress. Le premier jeu de « réalité alternée massivement multi-joueurs » avait fait beaucoup de bruit, mais il n’a jamais dépassé un cercle d’initiés.
Un coup de génie pour Nintendo, qui arrive sur le mobile : un concept existant, des personnages qui marquent, et en quelques jours Pokemon Go est au coude à coude avec Twitter en nombre d’utilisateurs. Rien que ça.

Une nouvelle success story du monde du Web / Jeux Vidéos / Mobilité / Digital (rayez les mentions inutiles) ?

Oui, sans doute. Mais comme d’habitude, la sécurité se fait un plaisir de jouer les trouble-fête.

Le démarrage fulgurant est déjà presque un problème en soi. Le jeu n’est toujours pas officiellement sorti en France, ni dans plusieurs autres pays où il est très attendu. Et pourtant tout le monde en parle. Et pourtant tout le monde y joue. Il suffit de demander à Google ; en quelques clics on trouve un mode opératoire. Un compte iTunes néo-zélandais, une petite astuce pour changer de pays et le tour est joué. On installe l’application et on joue.

Cette stratégie de déploiement n’est-elle pas discutable ? Une telle protection est facilement contournable. Netflix s’est déjà heurté à ce problème d’ailleurs. Les sites d’information grand public expliquent simplement comment s’y prendre. On en vient à se demander si ça ne fait pas partie du « plan » qui accompagne le lancement. On peut d’ailleurs interroger cette pratique : est-ce normal de diffuser ce genre de mode opératoire ? Et si on expliquait au public comment modifier sa plaque d’immatriculation pour ne pas être flashé par les radars ? Et si on ressortait les bonnes vieilles techniques pour voir Canal + en clair ?...

Le second risque est l’opportunité déjà saisie par les pirates. L’application n’est pas disponible. Le public a très envie de télécharger. Il suffit de diffuser une vraie fausse application, sous forme de guide, d’application, d’astuces ou de pub sur le vrai jeu. Et voilà, owned ! Vous pensiez jouer à Pokemon Go ? Vous jouez en fait à un autre jeu. Pour les pirates c’est aussi une histoire de « Gotta catch’em all » : on ne chasse plus les Pokemon mais on chasse les utilisateurs non sensibilisés. Ceux qui cliquent plus vite que leur ombre. Toujours cette histoire de malware, rien de neuf, mais un terrain de jeu encore plus grand, une naïveté encore plus importante.

Qui est reponsable ?

Le caractère « sympathique » de Pikachu et sa bande est une arme terrible en matière de sécurité. Et Nintendo en a déjà fait les frais. Avant même parler de malware ou de rogue app, il suffit de s’intéresser à l’application officielle. Quel est le point commun entre un ado, un gamer du dimanche, un curieux qui veut jouer à Pokemon Go ? Aucun d’entre eux ne lit les petites lignes du contrat. Personne ne s’intéresse aux autorisations demandées par l’application mobile. On veut du Pokemon ! On ne veut pas savoir que l’application doit prendre le contrôle de l’intégralité du téléphone, des données et tout ce qui peut s’y trouver. Un problème de droits avec le compte Google a d’ailleurs déjà été corrigé. Mais c’est presque trop tard. Tout le monde a cliqué. Qui a dit que la sensibilisation est une cause perdue ?...

Au-delà des risques numériques, ce nouveau phénomène provoque déjà une réflexion sur les risques physiques. C’est vrai qu’avec la réalité augmentée, au final, on est dans la vraie vie. Et dans la vraie vie, les risques deviennent vite très concrets. On passera sur les anecdotes plus ou moins drôles sur ce jeune papa qui cherche des pokemon dans la maternité pendant l’accouchement de madame. On ne commentera pas non plus le comportement de cette chaine de restaurants qui réserve des Pokemon pour les proposer à ses clients. Par contre, il faut dire quelques mots sur l’utilisation par des enfants. Laisseriez-vous vos enfants partir seuls à la conquête des Pokemon ? Comment va réagir le voisin du bout si votre fils s’infiltre en douce dans son jardin pour lui en piquer un ? Et ce van avec la pancarte « Rare Pokemon Inside », que cache-t-il vraiment ?

Toute la parano de l’habitué des analyses de risques peut vite faire tourner la tête. Les risques ne sont sans doute pas nouveaux. Mais une fois de plus c’est le contexte qui change la donne. C’est nouveau, c’est virtuel, tout le monde en parle : ça ne peut pas être si méchant que ça… Vous en êtes sûrs ?

Si ça se trouve, tout va bien se passer. Après tout, le nouveau règlement européen sur la privacy a des clauses strictes sur les enfants et le recueil de leur consentement. Nul doute que tout cela soit déjà implémenté par Nintendo dans ce jeu pour mobile dont on n’a pas fini d’entendre parler !

Benjamin Leroux, Innovation & Marketing, Advens