Le jeu Pokémon GO vient de faire l'objet d'un bulletin d'actualité du CERT-FR, le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques dépendant de l'ANSSI, donc du SGDSN et du Premier Ministre. Le bulletin met en garde contre « les cyber-risques liés à l'installation et à l'usage » de cette app pour smartphones qui s'est rapidement déployée dans le monde. Elle repose sur de la réalité augmentée pour que les joueurs puissent capturer des Pokémons (créatures virtuelles) dans le monde réel. Le risque de marcher avec son smartphone sans regarder où l'on va n'est pas pris en compte par le CERT-FR. Pourtant, lampadaires et escaliers peuvent se trouver sur le chemin des Pokémons.

Les pirates s'en donnent à coeur joie

Les passionnés peuvent être tentés (ou avoir été tentés) de télécharger le jeu sur une plate-forme non-officielle afin d'en bénéficier plus rapidement. C'est évidemment une très mauvaise idée : ces applications pirates peuvent en effet contenir une série de malwares, aussi bien de simples redirecteurs d'adresses web que des ransomwares. Le CERT-FR attire également l'attention sur le niveau de permissions demandées : la version initiale sur iOS du jeu était très exigeante. Son éditeur, Niantic, a depuis revu sa copie.

A l'image de la CNIL il y a quelques jours, le CERT-FR rappelle également que le principe même de ces jeux gratuits est de collecter des données sur les utilisateurs pour les cibler publicitairement. Le tracking géolocalisé des joueurs est donc opéré par l'éditeur.

Le SI d'entreprise potentielle victime collatérale

Tant que l'utilisateur de Pokémon GO n'utilise le jeu que sur un terminal strictement personnel et en dehors des heures de travail, on peut raisonnablement estimer le risque très faible pour les entreprises. Malheureusement, le terme même de « strictement personnel » devient de moins en moins d'actualité dès que l'on parle de smartphones. L'usage en mode BYOD est devenu la règle, ne serait-ce que pour consulter sa messagerie. Un ransomware ou un autre type de virus peut donc se glisser dans la messagerie d'entreprise via une application piratée. Le sujet n'en est que plus grave si le terminal utilisé possède de vraies applications professionnelles, même avec une compartimentation.

En matière d'intelligence économique, rappelons que le tracking géolocalisé d'un utilisateur peut être générateur de très nombreuses informations intéressantes (clients visités, tâches effectuées...). Dans les secteurs sensibles, des précautions particulières s'imposent donc.

Si l'on ne peut pas interdire aux gens d'utiliser un jeu en dehors des heures de travail sur un terminal personnel sans utiliser ses coordonnées professionnelles (mail notamment), le CERT-FR insiste cependant sur la nécessité de n'installer que la version officielle issue des magasins applicatifs officiels. Il faut également vérifier que les permissions demandées ne sont pas excessives, le cas échéant il convient de révoquer les accès superflus. Il est bien sûr nécessaire de ne pas utiliser un terminal où le jeu est présent dès lors qu'un géotracking pourrait être gênant. Enfin, règle de bon sens, il convient de se créer une identité spécifique avec une adresse mail dédiée pour s'enregistrer sur le jeu.

En savoir plus : 

Bulletin d'actualité 2016-ACT-031 du CERT-FR