L’application Path se sert dans votre carnet d’adresse

0

Cet article a été publié il y a 3 mois 9 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

Vous avez peut-être reçu un tas de mails vous invitant à découvrir cette superbe application qu’est Path afin de rejoindre un membre de votre famille ou un ami ou encore une connaissance. Vous l’avez peut-être maintenant installé pour voir ce que c’était et peut-être l’avez vous adopté. Et bien sachez que cette application télécharge sur ses serveurs votre carnet d’adresse. Je rigole ? non absolument pas et la preuve vient de chez ReadWriteWeb

Pour ceux à qui ça ne parlerais pas, je vais vous expliquer comment a fait Arun Thampi (la personne qui a découvert ça).

En utilisant une application spécifique (mitmproxy) lors d’un hackathon, il a voulu voir les appels qu’effectuaient les API de Path.

Using the awesome mitmproxy tool which was featured on the front page of the Hacker News yesterday, I started to observe the various API calls made to Path’s servers from the iPhone app.

Il a alors découvert une requête POST avec l’url https://api.path.com/3/contacts/add  (y’a quand même de l’https). En y regardant de plus près, il a découvert que tout son carnet d’adresse y était passé (le mien aussi et le votre surement) avec numéro de téléphone, adresse mail, noms etc… Vous rappelez-vous avoir donné l’autorisation à Path de piocher dans votre carnet d’adresse ? Non ? ben lui non plus et moi de même.

Alors certes, Facebook, Google et consort font pareil, mais pourquoi continuer alors qu’ils se doutent bien que dans les heures à venir ils vont s’en prendre plein la figure ?

L’excuse donnée par le CEO de Path Dave Morin à Arun Thampi est :

« We upload the address book to our servers in order to help the user find and connect to their friends and family on Path quickly and effeciently as well as to notify them when friends and family join Path. Nothing more. We believe that this type of friend finding & matching is important to the industry and that it is important that users clearly understand it, so we proactively rolled out an opt-in for this on our Android client a few weeks ago and are rolling out the opt-in for this in 2.0.6 of our iOS Client, pending App Store approval. »

Ok donc là j’ai un peu l’impression d’être pris pour un pigeon, en gros ils viennent juste (version 2.0.6 pour l’application iPhone) de tilter qu’il fallait peut-être demander l’autorisation. Non mais sérieusement les gars …

Des solution ont déjà été soumises et apparemment les équipes de Path y réfléchisse notamment avec une idée de Matt Gemmell :

Générer un hash pour créer une empreinte de l’information et ainsi pouvoir retrouver les amis des utilisateurs. Cela permettrait de ne jamais avoir les données en clair des utilisateurs.

Mais pour ceux qui ont déjà installé l’application comment ça se passe ? Pourront-ils nous certifier que nos données ont été effacés (celle du carnet d’adresse) puis nous demander l’autorisation ensuite ?

Bref, attendons de voir mais je dois dire que c’est pas tip top classe. Alors avis aux amateurs si vous souhaitez télécharger l’application vous saurez à quoi cela vous engage. Et comme le souligne RWW, c’est un peu le coût d’un service gratuit.

Path
Développeur: Path Inc.

Prix: Gratuit Download (Aff.Link)