Le jeu Pokémon Go ® est devenu un phénomène de société, au point que sa popularité suscite l’intérêt des cybercriminels.
Il y a de quoi les attirer lorsqu’on sait que le jeu est installé sur plus de 75 millions de terminaux mobiles dans le monde.
Cybersécurité et jeu Pokémon Go ®
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rattachée au service du Premier ministre (SGDSN), a fait publier un message d’alerte sur les Cyber-risques liés à l’installation et l’usage de l’application Pokémon Go (1).
Le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) met en garde contre :
- les applications malveillantes (fausses applications du jeu qui cachent des outils d’espionnages, de phishing et autres sites « douteux ») ;
- la collecte en permanence de nombreuses données personnelles (identité liées au compte Google ou géolocalisation du joueur) ou encore
- l’utilisation du jeu dans un environnement professionnel.
Il rappelle quelques règles fondamentales de sécurité informatique et donne des recommandations en ce qui concerne le jeu Pokémon Go ®.
Recommandations relatives au jeu Pokémon Go ®
Le CERT recommande de n’installer que la version originale du jeu présente sur les boutiques d’Apple et de Google (sites Google Play et iTunes). En complément, il convient de désactiver la possibilité d’installer une application téléchargée depuis un site tiers (sous Android, paramètre « Sources inconnues » du menu « Sécurité »).
En outre, il est également conseillé de vérifier les permissions demandées par l’application. La version originale du jeu nécessite uniquement :
- d’accéder à l’appareil photo pour les fonctionnalités de réalité augmentée ;
- de rechercher des comptes déjà présents sur l’appareil ;
- de localiser l’utilisateur grâce au GPS ou aux points d’accès Wi-Fi ;
- d’enregistrer localement des fichiers sur le téléphone.
Toute autre permission peut sembler suspecte et mettre en évidence la présence sur l’ordiphone d’une version altérée de l’application.
Le CERT-FR suggère de mettre en place un cloisonnement entre l’identité réelle du joueur et celle de dresseur Pokémon. Pour cela, il est possible d’ouvrir un compte directement auprès du Club des dresseurs Pokémon ou bien de créer une adresse Gmail dédiée à cet usage.
Enfin, le CERT-FR déconseille de pratiquer cette activité dans des lieux où le geo-tagging du joueur pourrait avoir des conséquences (lieu de travail, sites sensibles, etc).
La Gendarmerie Nationale a aussi publié un communiqué rappelant les dangers que les joueurs peuvent rencontrer en cas d’imprudence (2) ; notamment en ce qui concerne la sécurité routière, les vols, chutes et troubles à l’ordre public.
Isabelle Pottier
Directrice Études et Publications
(1) Cyber-risques liés à l’installation et l’usage de l’application Pokémon Go, Bulletin d’actualité CERTFR-2016-ACT-031 du 1er août 2016.
(2) Face au phénomène « Pokémon-Go », bon sens et vigilance sont de mise !, Communiqué du du 1-8-2016.