Si vous envisagez d’utiliser la fonctionnalité partage d’écran, alias mirroring de l’iPhone, il serait sage de patienter. Un rapport publié mardi par Sevco Security, spécialiste de la cybersécurité, met en lumière une faille de confidentialité qui pourrait exposer à votre employeur l’ensemble des applications que vous utilisez sur votre iPhone, y compris celles à caractère personnel. Cette découverte suscite des préoccupations quant à la protection des données privées des utilisateurs dans les milieux professionnels.
Introduite avec iOS 18 et macOS 15 Sequoia, cette fonction très pratique permet de visualiser, d’accéder et de contrôler votre iPhone sans fil depuis votre Mac. Elle donne la possibilité de naviguer sur votre iPhone et d’ouvrir des applications directement via le pavé tactile et le clavier de votre Mac. Toutefois, des problèmes de confidentialité pourraient survenir si cette fonctionnalité est utilisée dans un environnement professionnel, notamment en ce qui concerne l’accès à vos applications personnelles.
Quels risques dans un environnement professionnel ?
De nombreuses entreprises effectuent un inventaire des applications installées sur l’ordinateur d’un employé afin de gérer leurs actifs et d’assurer la sécurité informatique. En général, cet inventaire se limite aux logiciels présents sur l’ordinateur, sans inclure les applications mobiles. Cependant, selon les recherches menées par Sevco, toute application iPhone que vous utilisez via la fonctionnalité iPhone Mirroring sur votre Mac est enregistrée dans la base de données de votre employeur. Cela concerne non seulement les applications professionnelles, mais également les applications personnelles, surtout si l’iPhone vous appartient. En d’autres termes, votre employeur pourrait savoir quelles applications vous utilisez sur votre téléphone.
Dans son rapport, Sevco explique comment cela pourrait avoir un impact sur les employés :
« Pour les utilisateurs d’iPhone, ce bug représente un risque majeur pour la vie privée, car il peut exposer des aspects de leur vie privée qu’ils ne souhaitent pas partager ou qui pourraient les mettre en danger », a déclaré Sevco. « Cela pourrait inclure des informations sensibles, comme l’utilisation d’un VPN dans un pays où l’accès à Internet est restreint, l’installation d’une application de rencontre révélant l’orientation sexuelle dans une juridiction où les protections légales sont faibles ou inexistantes, ou encore une application liée à un problème de santé que l’employé préfère garder privé. »
Les entreprises doivent faire preuve de responsabilité
« Pour les entreprises, ce bug représente une responsabilité supplémentaire en matière de gestion des données, car il pourrait involontairement permettre la collecte d’informations privées sur les employés », souligne Sevco Security.
La société a informé Apple du problème, qui en a identifié la cause et travaille actuellement sur un correctif. Sevco a également averti ses clients que ce bug pourrait les amener à collecter, voire accéder aux données personnelles des employés.
« Même si les données des applications ne sont pas partagées, la simple présence de certaines applications, comme celles liées à la santé ou aux rencontres, peut révéler des informations personnelles sensibles », a expliqué Jason Soroko, Senior Fellow chez Sectigo, une société spécialisée dans la gestion du cycle de vie des certificats, lors d’une interview avec ZDNET.com. « Ce qui est partagé, ce sont les métadonnées relatives à la présence des applications sur l’iPhone en partage d’écran. Le problème provient du fait que la fonctionnalité de mise en miroir ne sépare pas correctement les métadonnées des applications personnelles de l’inventaire logiciel de l’entreprise. »
Sevco recommande de ne pas utiliser cette fonction
En attendant qu’Apple corrige cette faille, Sevco recommande fortement aux utilisateurs d’éviter d’utiliser la fonction de mise en miroir de l’iPhone sur des ordinateurs de travail. Les entreprises devraient également informer leurs employés des risques liés à cette fonctionnalité et vérifier les systèmes informatiques qui collectent l’inventaire des logiciels sur les Mac. Une fois le correctif disponible, les employeurs devront supprimer toutes les données personnelles des employés de leur inventaire pour éviter tout risque de responsabilité juridique.