Pokemon Go titille les hackers, irrite les politiques et provoque les pirates

Le jeu de réalité augmentée Pokemon Go déferle sur le monde. Il aiguise l’appétit des hackers et interpelle les politiques, aux États-Unis comme en France.

Développé par Niantic et distribué par Nintendo, Pokemon Go permet de se lancer à la poursuite de Pokemon cachés dans le monde réel et de les capturer via un smartphone sous Android ou iOS. Le jeu de réalité augmentée aiguise la curiosité des hackers, rapporte Ars Technica. Un collectif a créé une carte révélant où sont localisés les Pokemon se trouvant à proximité du joueur.

Ce sont les membres d’un forum de la plateforme Reddit, le subreddit PokemonGoDev, qui sont à l’origine de cette initiative. Ils collectent des idées d’ingénierie inverse dans le but de développer une API permettant de recueillir des informations sur les joueurs de Pokemon Go. Et ce en utilisant les données envoyées et reçues par les serveurs de Pokemon Go. Ils ont analysé les réponses du serveur envoyées par le jeu, en utilisant un tunnel SSL et un format de sérialisation pour les déchiffrer.

Localiser le Pikachu

Une modification de fichiers de script en Python est nécessaire pour faire des données habituellement cachées sur la localisation des Pokemon, une carte (Google Maps) illustrant l’environnement de réalité augmentée du joueur. Créatures virtuelles incluses.

D’autres apps alertent le joueur quand des Pokemon rares se montrent ou elles font croire au programme (GPS spoofing) que l’on se trouve à un autre endroit, entre autres. Mais accéder aux données du jeu de cette manière bafoue les conditions d’utilisation du service. Et Niantic a pris des dispositions pour bannir – un temps, au moins – les joueurs qui ne respecteraient pas les règles.

Chasser le risque

Une chose est sûre, Pokemon Go est un succès commercial dès son lancement et un casse-tête pour les autorités en charge de la sécurité publique (attroupements intempestifs, entrées non autorisées dans des lieux, inattention des passants et des chauffeurs…) et de la cybersécurité. Un groupe de hackers nommé PoodleCorp, par exemple, a déjà menacé de lancer des attaques par déni de service (DDoS) et de mettre les serveurs de Pokemon Go hors ligne le 1er août 2016.

Aux États-Unis, pour l’heure, le Congrès américain s’intéresse moins à la protection des données personnelles – que consomme allègrement Pokemon Go – qu’aux données consommées par le joueur dans le cadre de son abonnement mobile. Une lettre a été transmise par des parlementaires américains au CEO de Niantic, John Hanke, afin de savoir quelles mesures sont prises pour informer les joueurs et éviter qu’ils ne siphonnent leurs forfaits en quelques jours.

En France, le lancement officiel du jeu (initialement prévu vendredi 15 juillet) a été retardé par la Pokémon Company suite à l’attentat de Nice survenu le 14 juillet au soir.

Lire aussi :

Télégrammes : Facebook Messenger le milliard, Minecraft victime de Pokemon Go

Le succès de Pokemon Go fait la joie des cybercriminels

crédit photo de une : silent silk via VisualHunt / CC BY-NC