Bonjour,

L’heure est grave!

Le premier point important est que j’ai du installer l’application officielle (ou du moins décrite comme officielle par tous les blogs) de Microsoft sur mon téléphone Android pour chatter avec des gens, et ce fut une expérience utilisateur horrible, tellement elle est mal faite, mais ce n’est pas si grave que cela quand on regarde la suite…

Le second point important est que je développais pendant ce temps. J’avais donc mon mobile connecté à mon ordinateur, avec ce que l’on appelle les « logs » qui défilent. Ce sont en gros des lignes d’information utiles pour les développeurs. Nous pouvons dès lors y afficher des informations afin d’optimiser nos applications, débugger, et vous fournir la meilleure expérience possible.

Il se trouve que malheureusement, certains développeurs un peu « molassons » y incluent des informations capitales quand ils travaillent. Votre mot de passe et votre adresse email sont alors disponibles et affichées en public!

05-26 11:48:34.640: D/Proxy(11394): CoreServiceOpenCommand sent = [9|-1|11|MSP3|1|0|MonEmail@gmail.com|MonMotDePasse|STATUS_CLASS|256|TOKEN_REQUESTED|1|CONTACT_LIST_HASH|4059334524|]

Microsoft a récemment fait la boulette et a craqué. Votre adresse Live, avec tous vos emails, vos chats, vos documents SkyDrive sont maintenant accessibles à qui veut les lire!

L’application à ne pas télécharger est celle-ci: https://play.google.com/store/apps/details?id=miyowa.android.microsoft.wlm

Si vous ne voulez pas la désinstaller car elle vous plaît, je ne vous conseille qu’une chose: créez-vous une seconde adresse avec un mot de passe bidon pour chatter ou utilisez une application alternative:

  • https://play.google.com/store/apps/details?id=com.beejive.im.lm
  • https://play.google.com/store/apps/details?id=de.shapeservices.impluslite
  • https://play.google.com/store/apps/details?id=com.ebuddy.android
  • https://play.google.com/store/apps/details?id=com.nimbuzz

Pour plus de lecture, je vous conseille l’excellent blog (en anglais) de Steven Van Bael: http://vbsteven.com/archives/535 ainsi que sa présentation PowerPoint qui a attiré mon attention sur les soucis de sécurité (Android ou iPhone, il ne faut pas croire que la vie est plus rose chez la pomme): http://portal.sliderocket.com/BVGHP/JenkinsDatalogging