Confidentialité iPhone : Apple pisterait ses utilisateurs
Des chercheurs en sécurité ont découvert qu'Apple collecte des données sur les utilisateurs d'iPhone et d'iPad, en les suivant à la trace, ce qui contredirait la politique de confidentialité de la firme à pomme. Une affaire sensible…
Dans la guerre à laquelle se livrent les constructeurs pour dominer le marché des smartphones, Apple mise énormément sur la confidentialité qu'elle garantit à ses utilisateurs – c'est d'ailleurs devenu l'un de ses principaux arguments marketing. Dans un secteur qui repose beaucoup sur l'exploitation des données personnelles, la firme à la pomme s'est même érigée comme un véritable rempart contre cette pratique, ce qui lui a permis de se différencier de ses concurrents, comme en témoigne sa devise : "Privacy. That's iPhone". Une promesse relayée par une campagne publicitaire à la télévision et sur les réseaux sociaux en mai 2022, revendiquant le respect de la vie privée. Hélas, il semblerait que la réalité soit légèrement plus complexe et qu'Apple ne tienne pas toutes ses promesses en termes de confidentialité...
App Store : un moyen de pister les utilisateurs ?
Deux chercheurs en cybersécurité – connus sous le nom de Mysk sur Twitter – se sont intéressés à la façon dont Apple récolte et utilise les informations personnelles de ses utilisateurs sur iPhone et iPad via l'App Store, la boutique officielle par laquelle il faut obligatoirement passer pour télécharger des applications. Ils ont découvert que l'entreprise californienne y collectait des données sur les moindres faits et gestes de ses utilisateurs, et ce sans garantir leur anonymat. Un constat qui contredit la fameuse politique de confidentialité de la firme à pomme.Les chercheurs ont effectué leurs tests sur un iPhone "jailbreaké" – déverrouillé – sous iOS 14.6 avec l'App Tracking Transparency actif. En débridant l'appareil, ils ont pu installer des outils pour déchiffrer le flux d'informations et ainsi analyser les données qui sont envoyées aux serveurs d'Apple. Ils n'ont toutefois pas pu en faire de même sur un appareil tournant sous iOS 16, mais les deux versions du système d'exploitation de la pomme possèdent de très nombreuses similitudes dans leur fonctionnement, ce qui laisserait entendre que des données sont collectées de la même manière. C'est d'autant plus probable que cette méthode s'inscrit parfaitement dans la nouvelle stratégie mise en place par Apple depuis plusieurs mois. En effet, les utilisateurs ont pu constater une forte augmentation des publicités dans l'App Store, ce qui soulevé de véhémentes protestations – y compris de la part des développeurs –, au point que la firme à la pomme a dû faire marche arrière pour certaines catégories d'applications, comme les jeux d'argent.
New Findings:
— Mysk (@mysk_co) November 21, 2022
1/6
Apples analytics data include an ID called dsId. We were able to verify that dsId is the Directory Services Identifier, an ID that uniquely identifies an iCloud account. Meaning, Apples analytics can personally identify you pic.twitter.com/3DSUFwX3nV
Dans leur étude, les deux chercheurs dévoilent qu'Apple suit de A à Z les mouvements de ses utilisateurs sur l'App Store, la boutique d'applications d'Apple. La firme serait ainsi capable de connaitre leurs habitudes, leurs centres d'intérêt et leur comportement sur leurs appareils, et ce y compris quand les fonctions de suivi – comme le partage des données d'utilisation ou les publicités personnalisées – sont désactivées. En effet, depuis avril 2021, Apple incite ses utilisateurs à refuser le suivi publicitaire grâce à l'application Tracking Transparency – ce qui a d'ailleurs porté un coup dur à Facebook, dont le modèle économique dépend en grande partie de la publicité ciblée et du pistage des utilisateurs. Bien évidemment, Apple avait promis à l'époque de s'appliquer le même traitement et de ne pas suivre les agissements de ses utilisateurs en ligne ou dans les applications en cas de refus. Mais ce ne serait pas le cas en pratique si l'on en croit les analyses des chercheurs de Mysk qui soulignent qu'Apple ne suivrait pas la politique qu'elle applique aux autres...
Données personnelles : une collecte qui n'est pas anonyme
Le pire, comme l'ont révélé les chercheurs le 21 novembre, c'est que la collecte n'est pas anonyme. Ils ont découvert dans les données envoyées contiennent un DSID (Directory Services Identifier) : un numéro d'identification directement rattaché à l'identifiant Apple de l'utilisateur – qui est lié à son compte iCloud –, et qui permet donc de remonter jusqu'à son adresse e-mail, son numéro de téléphone, son adresse ou encore sa date de naissance. Selon l'analyse, il est impossible de mettre fin à ce transfert de données, y compris depuis un iPhone ou un iPad qui a désactivé cette option. Tommy Mysk, l'un des co-fondateur de la société, a expliqué à Guizmodo que "connaître le DSID, c'est comme connaître son nom. C'est un lien direct avec votre identité. Toutes ces analyses détaillées seront directement liées à vous. Et c'est un problème, car il n'y a aucun moyen de les désactiver." Pour résumer, Apple collecte donc bien les données sur ses utilisateurs et leur agissement dans l'App Store – leurs habitudes, ce qu'ils ont cherché, les publicités auxquelles ils ont été exposés, combien de temps ils sont restés sur la page d'une application... – sans qu'ils puissent y remédier d'une quelconque manière, et cette collecte n'est absolument pas anonyme, contrairement à ce qu'assure la firme.
Cette étude – et c'était avant de savoir que la collecte de données n'était pas anonyme – a entrainé, il y a quelques jours, une class action – une plainte collective – contre Apple devant la cour fédérale de Californie. Les plaignants rassemblés estiment en effet que la firme viole le California Invasion of Privacy Act, qui vise à protéger le droit que les utilisateurs ont de bloquer le suivi, y compris lorsqu'il sert à effectuer des analyses. La plainte ne met pas tant l'accent sur la collecte – tous les géants de la tech le font – mais sur le fait que la firme ne tient pas compte des paramètres permettant, en théorie, de refuser cette pratique.
Pour l'heure, Apple s'est refusé à tout commentaire. Mais le sujet est très sensible, et il serait bon que la firme de Tim Cook s'exprime officiellement pour mettre tout au clair, preuves à l'appui. Cette affaire pourrait bien nuire à la réputation "angélique" d'Apple, qui est déjà dans le viseur des législateurs, notamment européens. Ces derniers souhaitent s'attaquer au monopole de l'entreprise, qui oblige les développeurs à se soumettre aux règles de l'App Store s'ils veulent profiter de son immense marché – Apple impose notamment une commission élevée, qui continue d'augmenter. L'Union européenne a déjà forcé Apple à se plier à ses règles en imposant au constructeur d'adopter sur ses appareils mobiles le format USB-C qui doit devenir la prises universelle de recharge – ce que la firme à pomme commence à faire à contrecœur, en abandonnant progressivement son format propriétaire Ligthning.