Camille Gruhier
Changer de clavier est-il risqué ?
Pour améliorer la saisie de texte sur un smartphone, de nombreux éditeurs proposent des claviers alternatifs destinés à remplacer celui qui est installé par défaut dans l’appareil. Fleksy, Gboard, Minuum, Swiftkey ou encore Swype promettent ainsi plus de confort grâce à des fonctions enrichies. Mais l’utilisateur doit consentir à donner accès à l’intégralité des données saisies, y compris les numéros de carte bancaire ou les mots de passe. Les sociétés éditrices se veulent rassurantes, mais ce libre accès total ouvre nécessairement une brèche dans la protection des données personnelles.
SMS, e-mails, notes, messages sur les réseaux sociaux… La saisie de texte a pris une place prépondérante dans l’utilisation quotidienne du smartphone. Le confort du clavier virtuel installé par défaut dans l’appareil est d’ailleurs systématiquement évalué dans le cadre de nos tests de smartphones en laboratoire. Leur ergonomie est généralement bien pensée, mais il est possible de saisir du texte plus rapidement, ou de manière plus ludique, avec les claviers alternatifs à télécharger dans l’App Store et le Google Playstore, sous forme d’applications. Précisons tout de suite que tous les claviers disponibles dans ces boutiques d’applications ne sont pas intéressants : la plupart des claviers gratuits sont des supports à publicité qui se limitent à changer la couleur ou la forme des touches. Mais certains apportent une réelle valeur ajoutée, parce qu’ils sont finement personnalisables (place occupée à l’écran en mode portrait ou en mode paysage, taille des caractères, etc.), gèrent plusieurs langues simultanément, ou bien grâce à des modes de saisie innovants. La plupart d’entre eux proposent une version d’évaluation gratuite avant de devenir payante (entre 1 et 4 €).
La saisie prédictive…
Avec Swype, il suffit par exemple de faire glisser son doigt d’une lettre à l’autre pour composer les mots. La technologie est d’une efficacité redoutable. Minuum, de son côté, intègre un mode « mini » qui réduit le clavier à une bande horizontale en bas de l’écran, plusieurs lettres tombent sous le doigt mais, comme par magie, le mot affiché est bien celui que vous aviez en tête. Gboard, le clavier de Google (disponible sous Android et iOS, comme les autres applications citées), intègre le célèbre moteur de recherche ; il est possible de faire une recherche directement depuis le clavier pour l’intégrer à une note ou la partager. Fleksy se targue d’être le « plus rapide au monde », grâce notamment à une gestuelle propre (glisser le doigt une fois à gauche pour effacer un mot, etc.). Citons enfin Swiftkey, sans doute l’un des plus élaborés des claviers alternatifs, qui a basé sa notoriété sur la prédiction intelligente. Le clavier devine le mot que vous allez saisir pour vous éviter de le taper entièrement. C’est en fait le lot de tous ces claviers : la saisie prédictive et la correction automatique constituent le nerf de la guerre de la saisie sur smartphone. Swiftkey, Swype et les autres reposent sur des algorithmes de prédiction automatique, eux-mêmes construits sur des « modèles de langage » qui établissent en quelque sorte la probabilité que vous employiez tel mot dans tel contexte. Diablement performants, ils rendent ces claviers très efficaces une fois qu’on y est habitué.
… contre l’accès à vos données
Mais ceci suppose de passer outre les messages assez inquiétants qui s’affichent sur l’écran du smartphone lors du processus d’installation. Les claviers virtuels s’installent comme n’importe quelle autre application, il suffit de les télécharger dans la boutique. Sous iOS, l’utilisateur découvrira alors cette mise en garde : « ces claviers ont accès à l’intégralité des données saisies, notamment à vos numéros de carte bancaire, à vos adresses postales ainsi qu’à d’autres données personnelles confidentielles ». Pire, si vous leur donnez un « Accès complet » dans les réglages de votre iPhone, « les développeurs peuvent recueillir vos données et les transmettre à leurs serveurs » (notez qu’en réalité, les développeurs peuvent envoyer des données à leurs serveurs même sans l’accès complet…). Un message similaire met en garde les utilisateurs d’Android, qui auront déjà pu lire, avant même le téléchargement, que le nouveau clavier peut accéder à leurs contacts, au réseau, voire à leurs SMS, à leurs photos, à leur position géographique ou au micro du smartphone.
Le doute s’installe
Conscients que ces alertes peuvent décourager les utilisateurs, les développeurs tentent de les contrecarrer avec des messages rassurants. Dans leurs rubriques d’aide, ou dans leur politique de confidentialité, ils se justifient (malheureusement en anglais, le plus souvent). Swiftkey assure par exemple qu’il « ne transmet pas tout ce que vous tapez, comme le message d’Apple peut vous conduire à le penser ». « Ce message est là pour s’assurer que vous êtes conscients de ce qui est techniquement possible avant de décider de faire confiance, ou pas, à un clavier tiers », explique le développeur. Minuum admet pour sa part qu’il reçoit des données et les utilise pour ses opérations commerciales, mais assure qu’il s’agit de statistiques d’utilisation anonymes qui lui permettent d’améliorer son clavier. Dès lors, qui croire ? Pas sûr qu’il soit plus facile de faire confiance à Apple et à Google (Android) plutôt qu’à Swiftkey ou Swype (qui appartiennent respectivement à Microsoft et Nuance Communications).
Évitez les services cloud
Les faits sont plutôt rassurants. D’abord, malgré les avertissements, les claviers ne s’immiscent pas tout de suite dans les méandres de vos données. Par défaut, ils n’y ont pas accès : c’est à l’utilisateur d’activer les différents paramètres. Dans Android (6.0 et ultérieurs), il est possible de déterminer, pour chaque application, le type de données auxquelles elle peut accéder (Paramètres > Applications > Gestionnaire d’applications). Dans iOS, l’« Accès complet » est, par défaut, désactivé. D’ailleurs, Swype explique qu’il peut très bien s’en passer. « Cet accès complet n’est nécessaire que pour télécharger de nouvelles langues ou acheter des thèmes » pour personnaliser l’apparence du clavier. Des quelques claviers que nous avons pris en main, seul Swiftkey exige l’accès total (difficile de comprendre pourquoi, d’ailleurs).
Ensuite, tous fonctionnent sans accès à Internet. La prédiction n’est pas moins efficace en mode avion, ce qui exclut une transmission de données, du moins en temps réel. En fait, la principale source de flux entre votre smartphone et les serveurs des développeurs provient des services connectés qu’ils proposent souvent en option. À mesure que vous les utilisez, les claviers apprennent en effet à connaître votre style et vos abréviations personnelles. Pour vous permettre de retrouver ce dictionnaire personnalisé sur tous vos appareils, ou si vous changez de téléphone, ils proposent donc de le sauvegarder à distance (Swiftkey Cloud, My Fleksy Cloud, etc.). Sans doute vaut-il mieux les éviter, d’autant qu’il est permis de douter de la sécurisation des échanges. En 2015, nos homologues italiens Altroconsumo avaient mis à jour les manquements du clavier AI.Type. Ce dernier envoyait sur son serveur de nombreuses données (e-mail, applications installées sur le téléphone de l’utilisateur), ce sans aucun cryptage.
Quant à vos données sensibles, difficile d’affirmer qu’elles sont en sécurité avec ces claviers alternatifs. Mais y sont-elles vraiment plus exposées que sur les claviers installés par défaut ?