Actualité

Divers

Affaire Mogo : pas touche à mon numéro de téléphone !

Par La Rédaction - Publié le

Il y a une semaine, Mac4Ever mettait en lumière une pratique de la société ID Mobile (société lausannoise), qui arrivait à récupérer les numéros de téléphone des personnes téléchargeant une application sur l'iTunes Store d'Apple, numéro utilisé pour solliciter le passage à une version payante de leur application. Dans un premier temps, nous avons émis l'hypothèse que l'application utilisait une faille de sécurité de l'iPhone, permettant de récupérer le numéro de téléphone de l'usager.

Affaire Mogo : pas touche à mon numéro de téléphone !



ID Mobile se défend



Affaire Mogo : pas touche à mon numéro de téléphone !
Or, dans un communiqué de presse paru jeudi dernier, la société suisse se défend d'utiliser cette méthode et invoque un contrat avec les opérateurs suisses pour récupérer le numéro : Nous le faisons de façon parfaitement légale et uniquement sur le marché suisse où la législation l’autorise au moyen des connexions aux réseaux mobiles via SMS, WAP ou à travers l‘Internet mobile des opérateurs, tout comme d’autres prestataires. Pas d'exploitation, donc, d'une faille spécifique à l'iPhone.

Le communiqué, repris benoîtement par la plupart des sites Mac francophone sur l'air du ils sont vraiment nuls chez Mac4Ever, était censé éteindre l'incendie allumé par le petit site français. Peu de mise en question des affirmations de l'entreprise chez nos confrères, et peu de mise en perspective. De notre côté, nous avons cherché à approfondir le sujet, qu'on imagine toujours brûlant pour nos lecteurs helvétiques.

Suite à un entretien avec Stephane Blum, le CEO de ID Mobile, celui-ci nous a confirmé son communiqué de presse : Swisscom, Orange et Sunrise fourniraient les numéros MSISDN à ID Mobile, via une simple connexion IP, à travers l‘Internet mobile, depuis l'application. En d'autres termes, les trois opérateurs suisses fourniraient en toute légalité un système d'enrichissement des paquets IP à MogoRoad, qui paierait pour ce service afin de pouvoir obtenir les numéros de téléphone à partir d'une simple requête IP. Pour faire un parallèle, c'est un peu comme si Google s'associait à Free. Et dès que vous allez sur Google à partir de votre Freebox, Google puisse accéder à votre numéro de téléphone.


Surprise et embarras chez les opérateurs



Nous avons, en tout cas, contacté les 3 opérateurs Suisses pour savoir par quel mystère le numéro MSISDN - lequel porte le numéro de téléphone en clair de l'usager et n'est logiquement connu que des opérateurs ou de leurs prestataires directs- pouvait être collecté de la sorte.

Stupeur chez les opérateurs. Nous n'avons pas du tout de contrat avec la société ID Mobile, s'étonne Orange suisse qui affirme n'avoir jamais communiqué aucun numéro d'abonnés. Même son de cloche chez Sunrise. Nous n'avons pas de contrat avec ID Mobile qui leur permettrait de publier les numéros de nos clients. Ceci serait d'ailleurs interdit, explique-ton chez l'opérateur. Pour l'heure, et malgré nos demandes réitérées, Swisscom n'a pas encore répondu à nos questions.

Affaire Mogo : pas touche à mon numéro de téléphone !



Et la légalité, dans tout cela ?



Affaire Mogo : pas touche à mon numéro de téléphone !
L'affaire, en Suisse, fait grand bruit. ID Mobile n'a pas souhaité répondre à nos questions concernant la manière exacte dont ils obtiennent les identifiants MSISDN des utilisateurs de leur application. A priori, ceux-ci ne proviendraient donc pas directement des opérateurs. Peut-être d'un prestataire tiers mais nous n'avons pas les moyens de le vérifier pour le moment.

Cependant, la manière dont ces données sont collectées ne fait, finalement, pas grande différence. Cette collecte est illégale, pour le PFPDT. La loi fédérale sur la protection des données exige, pour tous les traitements de données personelles, un motif justificatif. Dans ce cas présent, il n'y a que le consentement de la personne concernée, ça veut dire du propriétaire du numéro de téléphone, qui fournirait un motif justificatif valable. Avant de télécharger l'application, l'usager doit être clairement informé de ce qui va se passer avec ses données et il doit donner son consentement. Si les personnes concernées ne sont pas informées, l'utilisation de leurs numéros de téléphone représente une atteinte à la personnalité., analyse le Préposé fédéral à la protection des données et à la transparence.

Contre de telles pratiques, conseille encore le juriste, les usagers peuvent se prémunir en ne signant pas des conditions générales qui permettent la communication de leurs données à des tiers. Si une telle communication est effectuée à l'insu et donc sans le consentement de la personne concernée, elle a le droit de recourir auprès d'un tribunal civil.

La condamnation semble donc très nette, et la pratique aux marges - au moins - de la légalité suisse.

À nos lecteurs



Affaire Mogo : pas touche à mon numéro de téléphone !
Pour ce qui nous concerne, cette affaire est désormais bouclée, sauf nouveau rebondissement. Dans son traitement, nous n'avons pas été exempts de reproches : la plus belle de nos erreurs étant sans doute de dévoiler la "faille" de l'iPhone en y associant, implicitement, ID Mobile sans les contacter au préalable, une erreur indéniable. Elle est la conséquence d'une extrême focalisation sur le problème de fond, pouvant toucher potentiellement tous les utilisateurs iPhone.

Ceci dit, si l'erreur est de débutant, c'est justement parce qu'elle offre un argument facile de réfutation. Pour le reste, en dehors d'une question de politesse, c'est à notre sens une remarque essentiellement rhétorique. Qu'imaginez-vous, sérieusement, que l'entreprise aurait répondu à Mac4Ever. Selon toute vraisemblance un superbe "no comment". Ça aurait été mieux de l'avoir, nous le concédons bien volontiers.

Avons-nous eu tort d'attirer autant l'attention médiatique, cristallisée par la présence de deux mots magiques : iPhone et faille ? La réponse à cette question dépend de la sensibilité de chacun. Sachez, en tout cas, que nous estimons faire notre travail en conduisant des enquêtes. Nous acceptons - en grognant - de recevoir toutes sortes de leçons si nous nous trompons mais continuons de penser que pour ne pas se tromper, il suffit de ne rien faire par soi-même et de se contenter de commenter le travail des autres. Merci, en tout cas, de vos nombreux messages de soutien en ces heures chahutées.