Au début du mois, deux chercheurs en sécurité découvraient que l’App Store d’iOS envoie en temps réel tout ce que vous y faites à Apple, violant ainsi votre vie privée et les principes qu’il a édictés. Il semblerait qu’en plus, Apple puisse vous identifier.
De champion de nos vies privées à collecteur de données personnelles en violation du RGPD ? Apple ne semble plus en finir de dégringoler du piédestal qu’il s’était consciencieusement fabriqué.
Un nouvel épisode : vous êtes identifié !
Au début du mois, deux chercheurs en sécurité dévoilaient qu’Apple suivait tous nos faits et gestes dans son App Store. Une révélation qui menait une petite semaine plus tard à la mise en place d’un recours collectif en justice devant la cour fédérale de Californie. Aujourd’hui, les deux mêmes chercheurs viennent de publier, toujours sur leur compte Twitter, @mysk_co, le fruit de nouvelles recherches. Elles incriminent toujours Apple et ses pratiques liées à son kiosque de téléchargements et mettent notamment en avant un identifiant, appelé DSID, abbréviation de Directory Services Identifier. Cette donnée est remontée à Apple, et le plus inquiétant est que le DSID est unique et lié à votre compte iCloud. Autrement dit, le géant de Cupertino peut ainsi savoir qu’il s’agit de vous, ou en tout cas d’une personne qui utilise votre compte.
🚨 New Findings:
🧵 1/6
Apple’s analytics data include an ID called “dsId”. We were able to verify that “dsId” is the “Directory Services Identifier”, an ID that uniquely identifies an iCloud account. Meaning, Apple’s analytics can personally identify you 👇 pic.twitter.com/3DSUFwX3nV— Mysk 🇨🇦🇩🇪 (@mysk_co) November 21, 2022
En dépit de ses propres principes
Le DSID n’est pas la seule information qui est envoyée à Apple. Les chercheurs ont effectué des tests qui démontrent que les données d’analyse récupérées par la société californienne incluent des détails sur vos moindres mouvements. Tout ce que vous faites dans l’App Store, vos différentes interactions sont ainsi récoltées en temps réel. Cela permet de connaître vos habitudes, bien sûr, mais aussi de savoir sur quoi vous avez tapé du bout du doigt, ce que vous avez cherché, les publicités auxquelles vous avez été exposé et combien de temps vous êtes resté sur la page d’une application et, donc, comment vous y êtes arrivé. Pour rappel, depuis iOS 14.5, Apple a mis en place son App Tracking Transparency, une plate-forme et politique de protection des données privées qui interdit aux applications tierces de vous tracker et de dresser des profils de vos habitudes. Il semble donc que la firme américaine ne s’applique pas ces mêmes contraintes.
Peu de place pour le doute
Les chercheurs en sécurité ont effectué leurs tests sur deux appareils. Ils ont tout d’abord commencé avec un iPhone jailbreaké sous iOS 14.6 – où l’App Tracking Transparency est donc actif. Le jailbreak leur a permis d’installer des outils pour déchiffrer le flux d’information et ainsi examiner les données qui sont envoyées.
Lors de l’annonce de leur découverte, les deux chercheurs émettaient de forts soupçons sur le fait que le problème était toujours d’actualité sur iOS 16. Ils ne pouvaient en effet pas analyser les données émises par l’iPhone car les données étaient chiffrées. Et c’est toujours le cas. L’incertitude demeure.
Néanmoins, les similitudes observées entre iOS 14.6 et 16, dans les formes d’envois de données, et jusqu’aux serveurs visés, qui sont les mêmes, laissent penser qu’effectivement cette pratique est commune à tous les smartphones d’Apple.
Cette découverte a été une surprise et un choc pour beaucoup, dont nous sommes, et même Tommy Mysk, un de deux développeurs, s’avouait profondément surpris de cette pratique. « J’autorisais toujours les applis à partager les données d’analyses avec Apple, parce que je veux les aider », indiquait-il à nos confrères de Gizmodo. « Mais j’ai toujours présupposé que les données seraient envoyées de manière anonyme ».
Les deux chercheurs laissent planer un dernier espoir. Il est possible qu’Apple utilise le DSID pour séparer les détails qui permettent l’identification d’une personne quand les données sont reçues, afin ensuite de séparer ces données personnelles du reste des informations. Mais pour l’instant, il est impossible de savoir si c’est le cas, car le géant américain ne semble pas vouloir communiquer sur cette découverte et cette pratique. Sollicité par nos soins au moment de la publication du premier article sur le sujet, Apple n’a toujours pas répondu.
Un silence qui laisse craindre que, dans sa volonté de construire son propre système publicitaire, Apple ait foulé aux pieds ce qu’il a mis si longtemps à construire : la confiance des utilisateurs.
Source :
Gizmodo