Dropbox utilise-t-il des méthodes de brigand pour obtenir le mot de passe admin de votre Mac ? Un peu, mais c’est pour la bonne cause. En fin de semaine dernière, un témoignage sur Twitter, des articles sur AppleHelpWriter (ici, là) et une clarification du service de stockage sur la liste de diffusion Hacker News ont jeté une lumière crue sur une pratique peu ragoûtante.
Si Dropbox est présent dans les autorisations d’OS X (Préférences système > Sécurité et confidentialité > Confidentialité > Accessibilité), ce n’est pas parce que l’application a gentiment demandé votre autorisation par le biais de la fenêtre traditionnelle :
En lieu et place, le client Mac de Dropbox affiche une boîte de dialogue qui ressemble beaucoup à l’alerte d’OS X lorsque le système a besoin de votre autorisation (pour modifier un réglage dans les Préférences système, par exemple) :
Une fois le mot de passe donné à Dropbox, l’application n’a plus besoin d’aucune autorisation de votre part pour s’installer dans le menu Accessibilité des préférences d’OS X (et même en supprimant l’application dans Accessibilité, elle reviendra après un redémarrage du Mac). En fait, le client n’a plus besoin de votre autorisation du tout pour faire tout ce qui lui passe par la tête, et c’est bien là le danger.
Devant la controverse, Dropbox a rapidement donné une explication : la demande du mot de passe sert à l’intégration du service de stockage dans d’autres applications (le badge Dropbox dans Office, entre autres).
Dropbox précise travailler avec Apple pour améliorer les choses à ce niveau ; il admet aussi que sa communication n’est pas terrible : « Nous demandons les permissions une fois, mais nous n’expliquons pas ce que nous faisons ni pour quelle raison ». Quoi qu’il en soit, le service assure ne pas voir ni conserver les mots de passe.
De manière plus formelle, Dropbox a mis en ligne une nouvelle page dans son Centre d’assistance qui explique les raisons pour lesquelles il demande le mot de passe admin. En plus des interactions avec des apps tierces, cette permission sert aussi à la mise à jour automatique du client Mac, et aide à améliorer la synchronisation des documents. Il est toujours possible d’annuler la demande de permission, mais on perdra ces fonctions supplémentaires.
Le service martèle qu’il ne peut voir, recevoir ou partager le mot de passe admin « d’aucune manière ». En guise d’explications, Dropbox regrette que certaines permissions d’OS X « ne soient pas aussi détaillées que nous le voudrions ». Cela signifie que « plusieurs permissions peuvent être inclues dans une boîte unique de permission ».
Il y a certainement moyen de faire mieux et plus clair pour les utilisateurs de Dropbox. Nul doute qu’après la tempête du week-end, le service s’y attellera séance tenante. Pour ceux qui voudraient vraiment se débarrasser de la présence de Dropbox dans les préférences d’OS X, AppleHelpWriter a une solution.
Source :
