Par Florian

Publié le 15 mai

Circle : un nouveau scandale de vol de données ?

Mais où sont passés les lutins en charge des portes de l’App Store ? Ces derniers gardiens, chargés de protéger les utilisateurs d’iPhone et d’iPad, des bugs et des applications malveillantes. En vacances ? Au paradis ? En enfer ? Devant l’Apple TV ?

Une chose est sûre, ils ne sont pas à leurs postes. Forcément les failles de sécurité recommencent…

Nous avons récemment repéré l’application Circle. Simple app de géolocalisation permettant de savoir quels sont nos amis dans le coin. On l’a surtout gardé pour sa belle interface. On ne s’était pas trompé, elle est magnifique avec plein de bonnes idées. Mais la joie s’arrête là, car Circle viole tout un paquet de guidelines, et probablement certaines de vos données personnelles.

• Il y a eu l’Antenna Gate avec l’iPhone 4.
• Il y a eu un Privacy Gate avec Path.
• Circle est le nouveau Privacy Gate.

Comment ça se passe ?

Déjà à l’ouverture on peut uniquement se connecter via son compte Facebook.
Premier problème : la pop-up Facebook est dans une langue inconnue pour la plupart des utilisateurs (indonésien) et on devra donc accepter les conditions d’utilisation sans savoir ce que Circle va utiliser. Ok, pourquoi pas, au besoin on pourra réduire les droits de Circle depuis les réglages Facebook.

Circle relié à votre compte Facebook, il faudra inviter vos amis à l’app pour les voir. C’est là que l’application débloque.
Circle, sans raison ni action de votre part, va envoyer des invitations aléatoirement à certains de vos contacts du carnet d’adresse. Intelligemment, l’app va envoyer l’invitation à toutes les coordonnées du contact : SMS, iMessage, adresses mails. Il ne manque plus que la carte postale !

Bien entendu cette pratique va à l’encontre des guidelines de l’App Store.

17. Sécurité Privée
17.1 Les apps ne peuvent pas transmettre les données d’un utilisateur sans son accord préalable et sans l’en informer de l’utilisation et du stockage qui sera fait de ces données.
17.2 Les apps qui requièrent de l’utilisateur qu’il partage des informations personnelles, comme une adresse email et sa date de naissance, pour fonctionner seront rejetées.

Circle :

• récupère toutes les données de mes fiches contacts -> je ne sais pas si ces données sont hébergées sur les serveurs de Circle ou si c’est juste un accès temporaire ;
• envoie un mail/iMessage/SMS à mes contacts sans mon autorisation ni confirmation -> sur toutes leurs adresses/numéros, et via SMS sans informer qu’il peut y avoir un coût.

Plus affligeant, Circle ne fonctionne qu’avec vos amis Facebook. Même si vous invitez un ami par mail/SMS il faudra impérativement qu’il soit votre ami sur FB pour que vous le voyiez dans l’application, une nouvelle entorse, implicite, aux guidelines :

2.4 Les apps qui incluent des fonctions cachées ou non documentées dans la description de l’app seront rejetées.

Circle marque bien qu’elle nécessite un compte Facebook pour être utilisée, mais pas que mes amis doivent être aussi mes amis Facebook.
À ce niveau, Circle viole déjà 3 des principales guidelines Apple. Et ça ne s’arrête pas là.

Circle va envoyer comme ça, pour le plaisir, des invitations à certains contacts sans vous avertir, de manière totalement aléatoire parmi les fiches de votre carnet d’adresse. Votre patron, un membre de la famille, un contact d’une soirée : personne n’est à l’abri. Pour peu que vous soyez consciencieux avec des fiches contacts complètes, la personne recevra entre 2 et 5 messages pour s’inscrire à Circle.
Dernier reproche : quand vous cochez sur le petit cercle pour inviter un contact, il est impossible de revenir en arrière et annuler l’invitation.

Le problème qui se pose : que fait Circle de toutes les données ainsi récupérées sans que l’utilisateur ne le sache/s’en rende compte ? Les mails sont envoyés depuis la boite mail du CEO de Circle, qui dispose donc du nom et de l’adresse mail de votre contact. (Les SMS et iMessages sont envoyés depuis votre iPhone.)
Nous ne sommes pas pessimistes, et on pense (espère) que Circle ne va pas faire d’utilisation frauduleuse de ces infos, mais la manière dont le recrutement est fait est très sale. Il est étonnant que Circle ait sorti une telle app, et qu’Apple ait laissé passer une app avec de telles failles de sécurité. Pire, Apple a mis en avant l’application sur l’App Store US.

Pour couronner le tout, après une petite heure on reçoit ce mail (automatique) du CEO de Circle :

Hi Florian,
I am a Co-Founder and CEO of Circle and I noticed that you downloaded our app today.

I wanted to reach out and thank you for trying it and see how your initial experience was. We made Circle to help people know when their friends and networks are nearby and we hope that you find it useful!

Cher Evan, comment te dire que l’expérience est désastreuse à partir du moment où un éditeur m’a demandé pourquoi il avait reçu 5 message d’inscription de ma part alors que je n’ai rien fait…
Nous avons contacté Evan, et nous publierons sa réponse dès réception.