Free a modifié mercredi l'interface qui permet aux clients Free Mobile de se connecter à leur compte client. Celle-ci fait désormais appel à un clavier virtuel comme on en trouve sur les sites de banque. Peu accessible, le dispositif handicape également les applications de suivi conso non officielles... au moins temporairement.
(mise à jour en bas d'article)
Sous couvert de sécurité accrue pour les utilisateurs, Free Mobile aurait-il décidé de mettre des bâtons dans les roues des éditeurs d'applications de « suivi conso » non officielles ? Depuis peu, l'interface qui permet de se connecter à son compte client fait en effet appel à un clavier virtuel, similaire à ce que proposent la plupart des banques en ligne. Pour entrer son identifiant, il faudra donc sélectionner les chiffres à la souris, un à un, plutôt que de les entrer au clavier.
« C'est un coup dur pour les aveugles et malvoyants abonnés Free Mobile ou qui envisagent de le devenir », fait remarquer l'auteur du blog Edencast. Ce système de sécurité renforcée, qui vise par exemple à empêcher que ne soient enregistrés les frappes clavier à l'insu de l'utilisateur, se révèle en effet incompatible avec la plupart des dispositifs favorisant l'accessibilité aux handicapés visuels (lecteur d'écran par exemple).
S'agit-il vraiment ici d'offrir une sécurité supplémentaire aux abonnés ? Sur les sites de banque, c'est en général le mot de passe qui doit être saisi à l'aide d'un clavier virtuel, alors qu'ici Free Mobile place la barrière au niveau de l'identifiant du compte. D'aucuns voient donc dans cette mesure une volonté délibérée de bloquer les applications non officielles de suivi conso, de plus en plus nombreuses. Par extension, le problème touche également les utilitaires de gestion de mot de passe (1password, Lastpass).
« Le process de validation Apple s'assure du fait que l'application ne fait pas autre chose que ce qu'elle est censée faire avec les identifiants », nous fait remarquerJulien Revert, auteur de Free Mobile Companion pour iOS (passée à 0,79 euro), dont une mise à jour en cours de validation contournera bientôt le problème.
La démarche parait d'autant plus vaine que la plupart des éditeurs indiquent, comme lui, avoir réussi à contourner le dispositif. L'auteur de Suivi Conso Free (iOS, gratuite) affirme par exemple sur sa fiche iTunes que son application fonctionne toujours. D'autres fournissent même publiquement un pan de code (PHP) permettant de s'affranchir de cette barrière.
S'il est vraiment problématique pour Free Mobile que des applications tierces accèdent aux données de ses clients, l'opérateur devra vraisemblablement s'arranger pour fournir rapidement une application officielle, éditée par ses soins.
Mise à jour, 24 février :
Free Mobile confirme qu'il est bien dans ses intentions de bloquer l'accès aux applications tierces, puisqu'une nouvelle mise à jour du mécanisme d'identification a été mise en ligne jeudi, venant une nouvelle fois invalider les efforts des développeurs. Xavier Niel, patron de l'opérateur, aurait confirmé à l'auteur du blog Edencast qu'il s'agissait bien de se prémunir de tout risque de vol d'identifiants.
Certains développeurs ont choisi de jeter l'éponge. « Retrait de cette application. Si avez le courage de vous battre, vous pouvez récupérer le code source (domaine public) et le faire évoluer. Il ne me reste qu'a vous remercier tous pour vos messages. Bon sudokus a tous avec la page de connexion de Free :p », écrit par exemple l'auteur de Suivi conso Free Mobile, disponible sur l'Android Market.
« Esthétiquement c'est le même que celui mis à place le mercredi 22 au soir, mais au niveau code, ils ont changé ces petites choses qui m'avaient permis de contourner la sécurité », confirme Julien Revert.
En dépit de ces blocages répétés, d'autres continuent à chercher la petite faille qui ira bien. Jérémy Seban, qui développe pour sa part sur Windows Phone 7, pense l'avoir trouvée. « La technique réside dans un moyen de reconstruire la table de correspondance position/numéro qui est présente sur le serveur. Dès lors que l'on récupère cette table de correspondance, simuler une authentification devient possible », nous a-t-il confié vendredi.
(publication initiale, 23 février, 9h)
Alexandre Laurent
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech,...
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet.
Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
