Comment notre IMEI est utilisé sur nos mobiles ?
En ces jours de chamboulement pour notre vie privée numérique (megaupload, google…), je prends enfin le temps de rédiger un article sur une donnée élémentaire à notre téléphone mais néanmoins sensible !
L’IMEI est un numéro unique, identifiant chacun des téléphones mobiles GSM ou UMTS existant. Il est principalement utilisé par les opérateurs téléphoniques pour identifier les téléphones se connectant au réseau et ainsi permettre ou non l’accès aux données (appels, sms, data…). Il est aussi utilisé pour les appels d’urgences réalisés sans carte SIM. Il est possible, grâce à cet IMEI de connaître le modèle exact du téléphone.
Sous Android cette donnée est très rapidement accessible en utilisant les fonctions appropriées et en spécifiant la permission nécessaire (READ_PHONE_STATE). Combien de fois le système de permission d’Android n’a pas fait débat ? Il lui est reproché d’être trop compliqué mais aussi trop peu maléable, ce qui oblige souvent les utilisateurs à accepter l’utilisation de permissions non appropriées lors de l’installation d’une application (un article pourrait bientôt voir le jour sur ce sujet). Et c’est là que le bât blesse !
Prenons le cas relativement commun d’un jeu disponible sous Android utilisant une certaine API pour gérer le système de HighScores. Cette certaine API a l’avantage évident de créer une sorte de communauté autour des joueurs pouvant comparer leurs scores ou encore se lancer des défis. Lors de l’inscription de l’utilisateur, il est demandé de saisir un login et un mot de passe pour authentifier l’utilisateur lors de l’utilisation de l’application ! Seulement, ce que l’utilisateur ne sait pas, c’est que ce n’est pas ce login/pwd qui sera utilisé pour l’authentifier mais bel et bien l’IMEI du mobile ! Peut être comprenez vous mieux maintenant pourquoi énormément d’applications demande la permissions « READ_PHONE_STATE » sous Android !
Cet IMEI est pourtant une donnée personnelle sensible ! En effet, comme précisé auparavant, elle est utilisée par les opérateurs pour identifier les téléphones sur le réseau mais aussi par les autorités pour bloquer un téléphone volé. Et si votre IMEI se retrouve dans des mains malicieuses, il se pourrait vite qu’il se retrouve clôné et utilisé dans de mauvaises circonstances ! Certes, ce dernier peut être nécessaire, par exemple pour identifier un appareil lors de l’achat d’une application et pour restreindre son utilisation sur uniquement cet appareil, mais pensez vous sincèrement qu’un jeu sur mobile nécessite cette information ?
Comment from perdu
Time 14 avril 2012 at 3 h 15 min
Sans compter que les dev ont: http://developer.android.com/reference/android/provider/Settings.Secure.html#ANDROID_ID
Qui ne demande aucune autorisation.