(mise à jour en bas d'article)
Sous couvert de sécurité accrue pour les utilisateurs, Free Mobile aurait-il décidé de mettre des bâtons dans les roues des éditeurs d'applications de « suivi conso » non officielles ? Depuis peu, l'interface qui permet de se connecter à son compte client fait en effet appel à un clavier virtuel, similaire à ce que proposent la plupart des banques en ligne. Pour entrer son identifiant, il faudra donc sélectionner les chiffres à la souris, un à un, plutôt que de les entrer au clavier.
« C'est un coup dur pour les aveugles et malvoyants abonnés Free Mobile ou qui envisagent de le devenir », fait remarquer l'auteur du blog Edencast. Ce système de sécurité renforcée, qui vise par exemple à empêcher que ne soient enregistrés les frappes clavier à l'insu de l'utilisateur, se révèle en effet incompatible avec la plupart des dispositifs favorisant l'accessibilité aux handicapés visuels (lecteur d'écran par exemple).
S'agit-il vraiment ici d'offrir une sécurité supplémentaire aux abonnés ? Sur les sites de banque, c'est en général le mot de passe qui doit être saisi à l'aide d'un clavier virtuel, alors qu'ici Free Mobile place la barrière au niveau de l'identifiant du compte. D'aucuns voient donc dans cette mesure une volonté délibérée de bloquer les applications non officielles de suivi conso, de plus en plus nombreuses. Par extension, le problème touche également les utilitaires de gestion de mot de passe (1password, Lastpass).
« Le process de validation Apple s'assure du fait que l'application ne fait pas autre chose que ce qu'elle est censée faire avec les identifiants », nous fait remarquerJulien Revert, auteur de Free Mobile Companion pour iOS (passée à 0,79 euro), dont une mise à jour en cours de validation contournera bientôt le problème.
La démarche parait d'autant plus vaine que la plupart des éditeurs indiquent, comme lui, avoir réussi à contourner le dispositif. L'auteur de Suivi Conso Free (iOS, gratuite) affirme par exemple sur sa fiche iTunes que son application fonctionne toujours. D'autres fournissent même publiquement un pan de code (PHP) permettant de s'affranchir de cette barrière.
S'il est vraiment problématique pour Free Mobile que des applications tierces accèdent aux données de ses clients, l'opérateur devra vraisemblablement s'arranger pour fournir rapidement une application officielle, éditée par ses soins.
Mise à jour, 24 février :
Free Mobile confirme qu'il est bien dans ses intentions de bloquer l'accès aux applications tierces, puisqu'une nouvelle mise à jour du mécanisme d'identification a été mise en ligne jeudi, venant une nouvelle fois invalider les efforts des développeurs. Xavier Niel, patron de l'opérateur, aurait confirmé à l'auteur du blog Edencast qu'il s'agissait bien de se prémunir de tout risque de vol d'identifiants.
Certains développeurs ont choisi de jeter l'éponge. « Retrait de cette application. Si avez le courage de vous battre, vous pouvez récupérer le code source (domaine public) et le faire évoluer. Il ne me reste qu'a vous remercier tous pour vos messages. Bon sudokus a tous avec la page de connexion de Free :p », écrit par exemple l'auteur de Suivi conso Free Mobile, disponible sur l'Android Market.
« Esthétiquement c'est le même que celui mis à place le mercredi 22 au soir, mais au niveau code, ils ont changé ces petites choses qui m'avaient permis de contourner la sécurité », confirme Julien Revert.
En dépit de ces blocages répétés, d'autres continuent à chercher la petite faille qui ira bien. Jérémy Seban, qui développe pour sa part sur Windows Phone 7, pense l'avoir trouvée. « La technique réside dans un moyen de reconstruire la table de correspondance position/numéro qui est présente sur le serveur. Dès lors que l'on récupère cette table de correspondance, simuler une authentification devient possible », nous a-t-il confié vendredi.
(publication initiale, 23 février, 9h)
