J’aurai bien titré cet article “F*** you Nokia” mais je vais essayer de rester courtois
Avec son navigateur mobile Xpress, proposé pour les smartphones Lumia et features phones Asha, Nokia fait transiter via ses serveurs les données de ses utilisateurs pour les compresser
Le problème au delà de l’évidence qui concerne les données transmises en claire ? c’est que Nokia se permet aussi de déchiffrer les données envoyées/reçues via une connexion HTTPS
Autrement dit Nokia possède apparemment les clés de déchiffrement associées aux certificats fournis aux utilisateurs du navigateur Xpress, même s’il s’agit d’un protocole sensé en THÉORIQUEMENT “garantir” un chiffrement end to end (clients serveurs finaux)
D’ailleurs Nokia ne s’en cache même pas MAIS ils prétendent faire ça “de manière sécurisée sans violer la vie privée des utilisateurs…”
Oh really ? ça ressemble pourtant pas mal à du MITM…
De plus c’est pas comme si Nokia, parmi tant d’autres, ne s’était jamais fait remarquer pour le flicage des utilisateurs de ses produits
Vu d’ici ça l’air d’être de l’interception et remplacement de certifs/clés publiques à l’insu des utilisateurs un outil de ce genre ? même si ça m’étonnerait beaucoup… ou alors l’utilisation de certifs SSL/TLS compromis fournis avec le navigateur Xpress ? mais j’ai pas trouvé à l’heure actuelle une info complète et précise sur la méthode que Nokia utilise pour avoir accès aux dites clés
Ce n’est pas sans rappeler ce que M$ à fait assez récemment… M$ dont l’OS mobile est justement utilisé pour les smartphones Nokia Lumia…
Ce qui est présenté comme un service pour économiser du data et accélérer le transfert de données sur le web, est une évidente violation de de la confidentialité, du novlangue marketing dans toute sa splendeur !
Évidemment dans le cas présent, rien n’oblige à utiliser ce “service” (bien que ça laisse la porte ouverte de nombreuses dérives plus graves) mais allez expliquer à l’utilisateur lambda que ce que Nokia (ou une autre entreprise) lui propose comme “service dans son intérêt” est non seulement une atteinte à ses données personnelles/sa vie privée mais aussi un danger potentiel pour les données sensibles de types mots de passes et données bancaires… évidemment c’est une très mauvaise idée d’utiliser un smartphone pour accéder à ou transporter des données sensibles mais beaucoup de gens l’ignorent
Si le HTTPS rend bien service dans certains cas, permet d’éviter l’interception d’informations transmises en claire, opération pour la quelle un simple smartphone Android suffit, ce protocole pose aussi un gros problème de confiance qu’on accorde souvent aveuglément aux autorités de certification…
Recent Comments