Belfius est une banque en Belgique issue du groupe Dexia (la banque qui a coulé en 2011).
Leur site web et leur application mobiles sont plutôt bien faits.
Par contre, je ne comprends pas pourquoi la banque s’autorise tant de permissions sur l’application mobile :
Pourquoi la banque a besoin de lister les identifiants des comptes de mon téléphone ? C’est pour savoir quelle adresse mail j’utilise?
Pourquoi l’application cherche à me localiser au démarrage de l’application ? Lors d’une recherche d’agence de proximité, je comprendrais, mais au démarrage, c’est clairement abusé.
Pourquoi l’application se lance toute seule en arrière plan ?
Pourquoi l’application a un accès complet à tous les documents et photos stockés sur mon téléphone tout en sachant qu’on ne peut savoir ce qu’elle envoie sur le réseau?
Quand à la demande d’accès root : LOL.
Ca ne me rassure pas du tout.
Vous pouvez les faire chier sur Twitter et commentant sur le Google Play Store
Seule la pression publique pourrait les freiner. A chaque mise à jour, il y a une permission de plus à accepter :-/
Et ce n’est pas comme si on pouvait voir son solde sur leur site web depuis un smartphone :
https://github.com/M66B/XPrivacy
Réponse succincte de Belfius sur Twitter :
Trouver des agences : géolocalisation.
Utiliser le QR code : appareil photo
Feedback suite à une visite en agence : bluetooth.
Ouverture de fichiers PDF : fichiers multimédia.
Bonjour Tuxicoman,
Afin de vous donner une réponse plus circonstanciée que ne le permet Twitter, nous nous permettons de répondre de manière plus détaillée à votre billet. Belfius demande en effet un certain nombre d’autorisations liées aux fonctionnalités disponibles sur ses applications et il est tout à fait légitime de se demander pourquoi. Ces autorisations sont nécessaires pour permettre le bon fonctionnement de ces dernières.
Par exemple :
– « Voir l’état et l’identité du téléphone » : Cette permission est nécessaire lors de l’enregistrement de votre appareil à votre contrat mobile. Ceci permet à l’application de s’assurer que c’est bien votre appareil qui est utilisé lors de votre connexion et non celui d’un tiers, pour des raisons de sécurité.
– « Prendre des photos et enregistrer des vidéos » : Cette permission est obligatoire pour utiliser la fonctionnalité de paiement mobile. Celle-ci vous permet de prendre en photo un code QR à l’aide de votre smartphone afin d’effectuer directement un virement à un proche.
– « Position précise (GPS et réseau) » : Cette autorisation est liée à la fonctionnalité de localisation des agences, pour vous permettre de vous rendre rapidement dans l’agence la plus proche de votre position. Elle est également utilisée pour la fonctionnalité de « Local Service », vous permettant de donner votre avis sur les services reçus en agence.
– « Modifier ou supprimer le contenu de la carte SD / voir le contenu de la carte SD » : À partir de votre boite de réception, Belfius peut vous envoyer des messages privés dont certains peuvent contenir des pièces jointes au format PDF (comme un contrat, un relevé de dépenses, etc.). Cette autorisation vous permet d’enregistrer ces pièces jointes sur votre appareil.
– « Rechercher des comptes sur l’appareil » : Cette autorisation est indispensable pour l’utilisation des push notifications utilisées pour l’envoi d’informations importantes.
– Etc.
En résumé, toutes ces autorisations sont liés à l’utilisation des fonctionnalités disponibles sur les applications Belfius et garantissent un niveau de sécurité optimal lors de vos transactions bancaires.
Il est également utile de préciser que chaque constructeur (Samsung, LG, Apple, Sony, etc.) choisit la description de ces différentes autorisations. Pour vous donner un exemple concret, l’accès aux « photos/multimédia/fichier » de votre appareil est une description étendue des autorisations. Belfius n’accède jamais aux photos ou vidéos de l’utilisateur, cette autorisation est uniquement nécessaire pour pouvoir stocker sur votre appareil les documents PDF que la banque vous envoie.
Dans un souci de transparence envers ses clients, Belfius mettre prochainement des « F.A.Q. » à disposition de ses clients, afin d’expliquer en détail pourquoi ces différentes autorisations sont nécessaires lors de l’installation des applications mobiles.
En espérant avoir répondu à vos questions,
Meilleures salutations,
Merci pour votre attention à cette préoccupation.
Pouvez vous expliquer également pourquoi l’application doit pouvoir se lancer au démarrage du téléphone ? Et à quoi servent les notifications push ?
Je ne suis pas dans le procès d’intention. Vous n’êtes pas responsables du système de permission d’Android qui oblige l’utilisateur à accepter toutes les permissions pour pouvoir utiliser l’application (sauf si on utilise CM ou XPrivacy). Néanmoins, il peut être judicieux de se poser la question si l’ajout de fonctionnalités contrebalance la perte de confiance introduites par l’extension d’accès aux données privées du client.
Android 6 devrait apporter plus de garantie à l’utilisateur avec des permissions à la demande. Est ce qu’il est prévu que les nouvelles versions de l’application supportent les permissions à la demande d’Android 6?
Merci !
Tuxicoman, la dernière capture d’écran signifie-t-elle que cette banque permet d’accéder à son solde depuis un ordinateur, mais qu’elle a payé ses développeurs pour mettre en œuvre une fonctionnalité qui bloque volontairement et artificiellement cet accès lorsqu’on essaie de le faire depuis un téléphone ‽
Si c’est bien le cas, c’est un magnifique exemple d’anti-fonctionnalité… Pour rappel, une anti-fonctionnalité, c’est une fonctionnalité négative, c’est à dire une fonctionnalité qui a été volontairement développée, avec les frais que cela implique, qui est facturée au client de façon directe ou indirecte, et qui dégrade volontairement son expérience. Ce sont des choses comme le bridage de certaines éditions de Microosft Windows, le verrouillage SIM, etc.
@Elessar : Effectivement, faire une interface responsive pour afficher son solde ne coûterait pas très cher à faire. Je ne vois pas ce qui dans l’interface d’application (pour consulter son solde, payer ou faire des transferts entre comptes) n’est pas faisable en HTML.
Autre réponse de Belfius sur Twitter:
Le lancement de l’app en tâche de fond est utilisée dans le cadre du service Local Service en Agence (technologie iBeacon)
La permission qui donne accès au compte Google de l’appareil est utilisé dans le cadre des notifications push .
Ça ne répond pas à ma question : est-ce qu’ils permettent d’afficher son solde dans un navigateur Web quand on arrive depuis un ordinateur fixe ou portable, mais bloquent artificiellement cette fonctionnalité quand on arrive depuis un téléphone ?