Les problèmes de confidentialité d’iOS s’aggravent alors que les promesses d’Apple sur l’anonymat des analyses semblent être fausses

Les problèmes de confidentialité d'iOS s'aggravent alors que les promesses d'Apple sur l'anonymat des analyses semblent être fausses

Des problèmes de confidentialité d’iOS ont été soulevés la semaine dernière lorsque des chercheurs en sécurité ont semblé démontrer que les iPhones envoient les mêmes données d’analyse à Apple, que vous accordiez ou refusiez l’autorisation.

Les mêmes chercheurs ont maintenant démontré qu’Apple peut – malgré les assurances du contraire – relier ces données à des utilisateurs individuels, car le même identifiant est utilisé que celui des comptes iCloud…

Arrière plan

Lorsque vous configurez un nouvel appareil Apple pour la première fois, il vous est demandé si vous souhaitez ou non partager des données analytiques avec Apple.

Aidez Apple à améliorer ses produits et services en envoyant automatiquement des données de diagnostic et d’utilisation quotidiennes. Les données peuvent inclure des informations de localisation.

Vous pouvez accepter ou refuser, mais Tommy Mysk a découvert qu’exactement les mêmes données d’analyse semblent être envoyées à Apple, que vous y consentiez ou non.

L’application App Store envoyait des données en temps réel sur vos recherches d’applications, les publicités que vous aviez vues, la façon dont vous avez trouvé les applications que vous avez consultées et même le temps que vous avez passé à regarder la page d’une application. Gizmodo souligne que même ces données peuvent être sensibles – par exemple, la recherche d’applications liées aux problèmes LGBTQIA+ ou à l’avortement.

Le site a suggéré à Mysk de consulter d’autres applications Apple en stock, ce qui a révélé qu’il en était de même pour Apple Music, Apple TV, Books et Stocks. Par exemple, l’application Stocks a partagé avec Apple vos actions surveillées, ainsi que les noms d’autres actions que vous avez recherchées ou consultées, ainsi que les articles de presse que vous avez lus dans l’application.

Un recours collectif a maintenant été déposé à ce sujet.

Apple promet que les données analytiques sont anonymes

Même si vous acceptez qu’Apple collecte des données d’analyse à partir de vos appareils, la société promet que toutes les données sont anonymes.

Aucune des informations collectées ne vous identifie personnellement. Les données personnelles ne sont pas enregistrées du tout, sont soumises à des techniques de préservation de la vie privée telles que la confidentialité différentielle ou sont supprimées de tout rapport avant qu’elles ne soient envoyées à Apple.

La société poursuit en indiquant qu’elle peut utiliser votre identifiant Apple pour corréler les données d’analyse de tous les appareils sur lesquels vous avez donné votre consentement, mais indique à nouveau que vous ne pouvez pas être identifié.

Si vous acceptez d’envoyer des informations Analytics à Apple à partir de plusieurs appareils qui utilisent le même compte iCloud, nous pouvons corréler certaines données d’utilisation des applications Apple sur ces appareils en les synchronisant à l’aide d’un chiffrement de bout en bout. Nous le faisons d’une manière qui ne vous identifie pas auprès d’Apple.

Vous pouvez voir ces assurances sur votre iPhone :

  • Ouvrez l’application Paramètres
  • Sélectionnez Confidentialité et sécurité
  • Faites défiler vers le bas pour appuyer sur Analyses et améliorations
  • Appuyez sur À propos d’Analytics et de la confidentialité dans le paragraphe d’ouverture

Les problèmes de confidentialité d’iOS s’aggravent

Cependant, Mysk semble démontrer que cette assurance d’anonymat est fausse, en capturant les données envoyées à Apple, et en les comparant à celles utilisées pour identifier un utilisateur iCloud par son identifiant Apple.

Les données d’analyse d’Apple incluent un identifiant appelé « dsId ». Nous avons pu vérifier que « dsId » est le « Directory Services Identifier », un identifiant qui identifie de manière unique un compte iCloud. Cela indique que les analyses d’Apple peuvent vous identifier personnellement […]

Les données d’analyse que l’App Store envoie à Apple contiennent toujours un identifiant appelé « dsId ». Nous ne savions pas si c’était le même que le DSID, l’ID qui identifie de manière unique un compte iCloud. Nous confirmons qu’il s’agit de la même pièce d’identité.

Vous pouvez le voir dans la vidéo ci-dessous.

Nous avons contacté Apple et nous mettrons à jour avec toute réponse.

La prise de Netcost-security.fr

Comme le dit le vieil adage, « N’attribuez jamais à la méchanceté ce qui peut être expliqué de manière adéquate par l’incompétence ». Je suis assez convaincu que le rasoir de Hanlon s’applique ici et que la raison pour laquelle les assurances d’Apple semblent fausses est due à une erreur plutôt qu’à une intention délibérée de tromper. L’entreprise a tout simplement trop à perdre et trop peu à gagner d’un comportement néfaste de ce type.

Cependant, comme l’incompétence va, cela semble assez haut dans l’échelle. La confidentialité est devenue une partie importante du message marketing d’Apple, donc ne pas protéger la confidentialité non pas d’une mais de deux manières principales est un très gros problème.

Apple doit résoudre ce problème, et le réparer rapidement.

Photo : Guillaume Bourdages/Unsplash


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :