Android et l’iPhone vous permettent de remplacer le clavier standard par un clavier tiers. De par sa nature même, un clavier a un accès complet à tout ce que vous tapez dessus, des messages privés aux mots de passe et aux numéros de carte de crédit. Certaines des données du clavier sont souvent envoyées sur Internet, où elles pourraient être volées ou même abusées par le développeur du clavier.
Ce n’est pas non plus théorique: c’est déjà arrivé. Et c’est exactement pourquoi nous avons un problème à faire confiance aux claviers de smartphone tiers.
Les fuites ai.type et SwiftKey
Ai.type est un clavier populaire pour Android et iPhone qui revendique plus de 40 millions d’utilisateurs dans le monde. Le 5 décembre 2017, les données personnelles de plus de 31 millions de clients ont été divulguées en ligne. Leur serveur de base de données a été littéralement laissé seul sans mot de passe pour le protéger, afin que tout le monde puisse accéder aux informations.
En plus des numéros de téléphone, des noms et des adresses e-mail, du texte tapé à l’aide du clavier a également été volé. L’entreprise avait promis de ne jamais «apprendre» des champs de mot de passe, mais ZDNet « A vu un tableau contenant plus de 8,6 millions d’entrées de texte saisies à l’aide du clavier, qui comprenait des informations privées et sensibles, comme des numéros de téléphone, des termes de recherche Web et, dans certains cas, des adresses e-mail concaténées et des mots de passe correspondants. »
Ce n’est pas la première fois qu’un clavier divulgue des données par inadvertance. La populaire SwiftKey le clavier a eu une fuite de données après son achat par Microsoft. Le clavier SwiftKey a commencé suggérant adresses e-mail privées à d’autres utilisateurs de SwiftKey, lorsque ces adresses e-mail n’auraient jamais dû être exposées.
Pourquoi les claviers sont si dangereux
Les claviers tiers sont si dangereux parce qu’ils veulent être «intelligents». Les claviers ne se contentent pas de vivre entièrement sur votre téléphone et vous permettent de saisir des lettres. Au lieu de cela, ils essaient d’effectuer une prédiction de texte avancée et une correction automatique personnalisée. Pour personnaliser votre expérience, ils téléchargent souvent des données sur comment et ce que vous tapez sur les serveurs de l’entreprise.
Cela rend certainement les choses plus pratiques, mais comme pour toutes les choses, la commodité se fait souvent au détriment de la confidentialité. Le problème est que les claviers y ont accès. Lorsque vous faites confiance à un clavier tiers, vous donnez à une application un niveau d’accès très profond à votre téléphone, y compris tout ce que vous tapez. Vous devez sérieusement vous demander si vous faites confiance à l’entreprise qui crée le clavier pour traiter vos données de manière responsable et sécuriser réellement ses serveurs. Par exemple, vous pouvez faire confiance à Google Gboard clavier si vous faites déjà confiance à Google avec votre compte Gmail et d’autres informations personnelles, mais une société plus petite et moins connue nommée ai.type ne méritait apparemment pas de confiance.
C’est difficile, bien sûr – nous pourrions dire que SwiftKey de Microsoft est plus fiable que ai.type, mais SwiftKey a également eu ses problèmes dans le passé. Lorsque vous utilisez un clavier tiers, vous acceptez un certain niveau de risque car tout problème avec les serveurs du clavier pourrait vous causer des problèmes. C’est donc à vous de décider: est-ce que l’utilisation d’un clavier tiers vaut ce risque?
Les claviers peuvent être plus sécurisés sur les iPhones… si vous abandonnez les fonctionnalités
Les conseils ci-dessus s’appliquent à la fois à Android et à l’iPhone, mais il y a une bizarrerie particulière sur l’iPhone. Alors qu’Android permet à tous les claviers d’accéder à Internet car l’autorisation «Internet» a été masquée sur le Play Store, iOS d’Apple refuse l’accès Internet aux claviers par défaut. Pour donner un accès Internet à un clavier tiers après son installation, vous devez vous rendre dans Paramètres> [Keyboard App Name] > Claviers et activez l’option «Autoriser l’accès complet».
Cela rend les claviers iPhone et iPad beaucoup plus sûrs à installer et à utiliser sans aucun souci de confidentialité, tant que vous ne leur donnez pas manuellement un accès complet. Le problème est que de nombreux claviers tiers ne sont utiles que pour cet accès Internet – peut-être qu’ils récupèrent des données comme des GIF ou des liens sur Internet, ou peut-être que leur personnalisation et leurs recommandations plus avancées ne fonctionnent qu’avec un accès au cloud.
Une fois que vous avez activé «Accès complet» pour un clavier sur iOS, tous les paris sont désactivés et vous êtes tout aussi à risque que vous l’êtes sur Android. Il existe quelques exceptions: par exemple, iOS n’autorise pas les claviers tiers à fonctionner dans les champs de mot de passe du système d’exploitation. Mais vous auriez en grande partie autant de problèmes que vous l’auriez été si vous aviez installé le même clavier sur un téléphone Android. C’est pourquoi Apple vous avertit si fortement lorsque vous essayez d’accorder un accès complet à un clavier.
En fin de compte, c’est à vous de décider si vous souhaitez ou non installer un clavier tiers. Mais vous devriez réfléchir à deux fois. Si vous devez avoir un clavier tiers, nous vous recommandons au moins d’essayer de traquer les claviers d’entreprises de confiance comme Google et Microsoft plutôt que de petits développeurs dont vous n’avez jamais entendu parler. Ils ne seront toujours pas parfaits, mais au moins vous savez à qui vous avez affaire.
