L'application Android gratuite « Zenkoku Denwacho» ou «Annuaire téléphonique national » destinée au public japonais était censée offrir aux particuliers et aux entreprises une base de données comportant numéros de téléphone, noms, plus quelques informations de localisation. Mais une « fonctionnalité » de l'application, retirée depuis de la boutique en ligne Google Play, a permis d'accéder aux carnets d'adresses des utilisateurs et à leurs données GPS, et a ajouté ces informations à des bases de données publiques.

C'est la firme de sécurité japonaise NetAgent qui a levé le lièvre et posté un message pour alerter sur ce logiciel qu'elle qualifie de « malveillant ». NetAgent avertit sur le fait que l'application vole les informations des utilisateurs. Mais sur les pages de téléchargement, encore ouvertes hier, on peut lire dans la description de l'application qu'elle crée une base de données nationale, qu'elle « utilise » des informations prises dans les carnets d'adresses des utilisateurs et des données de géolocalisation, et les ajoutent à sa base de données existante de 38 millions d'invidus constituée à partir d'autres bases de données en ligne.

La difficulté de protéger les données personnelles


Selon NetAgent, l'application, accessible depuis le mois de septembre, a été téléchargée environ 3 400 fois et près de 760 000 entrées de carnet d'adresses ont été transférées vers sa base de données publique. L'entreprise de sécurité ne précise pas comment elle a pu établir ce calcul. Selon les médias japonais, la police a ouvert un enquête, mais rien ne permet de dire si l'application a enfreint la loi ou non. Pour l'instant, un porte-parole de la police a refusé de commenter l'affaire.

Les blogs et les messages de Twitter ont suscité un débat en ligne au sujet de l'application, d'autant que les modalités appliquées par « Zenkoku Denwacho» ressemblent à d'autres services populaires au Japon, comme Line, un réseau social qui télécharge aussi les entrées de carnet d'adresse des utilisateurs. Sur le blog japonais « I Believe in Technology » (« Je crois dans la technologie »), un blogueur commente l'événement et écrit : « Impossible de protéger totalement mes données et d'éviter qu'elles soient téléchargées vers un serveur Line par une de mes connaissances».

Des commentaires publiés sur des pages redirigeant vers l'ancienne adresse de téléchargement de l'app sur Google Play préviennent également contre les abus possibles. L'application demandait, comme préalable à l'installation, d'autoriser l'accès aux carnets d'adresse. « Ça pourrait être dangereux », écrit un commentateur.