Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juin 2016
    Messages
    919
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 919
    Points : 25 507
    Points
    25 507
    Par défaut Apple rassure que son navigateur Safari ne partage que les adresses IP, et pas les URL, des utilisateurs
    Le navigateur Safari d'Apple envoie les adresses IP de certains utilisateurs à Tencent
    en Chine

    De nombreuses informations ont commencé à circuler sur Internet à propos des récents agissements de la multinationale américaine vis-à-vis des autorités chinoises. La semaine passée, un rapport de Reclaim the Net a révélé qu'Apple a ajouté les contrôles Tencent Safe Browsing aux contrôles Google Safe Browsing existants dans son navigateur Internet Safari dans le mois de février dernier. Ce qui permet à Safari d’envoyer l’adresse IP et d'autres données de navigation de certains utilisateurs d’iPhone ou iPad au chinois Tencent.

    « On sait maintenant qu'Apple, qui se positionne souvent comme un champion de la vie privée et des droits de l'homme, envoie les adresses IP des utilisateurs de son navigateur Safari sur iOS au conglomérat chinois Tencent, une entreprise étroitement liée au Parti communiste chinois », peut-on lire dans le rapport de Reclaim the Net. Apple Inc. a mentionné qu’il envoie les adresses IP de certains de ses utilisateurs à Tencent dans la section « À propos de la confidentialité et de la sécurité » dans les paramètres du navigateur sur les appareils iOS.

    Cette section est accessible sur un périphérique iOS en ouvrant l’application Paramètres, puis en sélectionnant « Safari > À propos de la confidentialité et de la sécurité ». À ce stade, Apple a expliqué que, pour s’assurer de la sécurité d’une page Web que vous êtes sur le point de visiter, le navigateur envoie certaines données de navigations, y compris votre adresse IP, à Google Safe Browsing et à Tencent Safe Browsing pour qu’ils effectuent cette vérification. À la fin de la déclaration, il est également mentionné que ces fournisseurs peuvent enregistrer votre adresse IP.

    « Avant de visiter un site Web, Safari peut envoyer les informations calculées à partir de l'adresse du site Web à Google Safe Browsing et à Tencent Safe Browsing afin de vérifier si le site Web est frauduleux. Ces fournisseurs de navigation sécurisés peuvent également enregistrer votre adresse IP », indique la description faite par Apple de la fonctionnalité "Fraudulent Website Warning" (Avertissement de site Web frauduleux). Selon le rapport de Reclaim the Net, la fonctionnalité "Fraudulent Website Warning" est activée par défaut sur tous les périphériques iOS.

    Nom : apple-safari-ip-addresses-tencent-featured.jpg
Affichages : 18986
Taille : 47,3 Ko

    Tant qu’elle n’est pas retirée, sur un iPhone ou un iPad, Tencent et Google peuvent récupérer les adresses IP des utilisateurs d’appareils iOS. En d’autres mots, cela signifie qu'à moins que les utilisateurs d'iPhone ou d'iPad ne plongent de deux niveaux dans leurs paramètres et le désactivent, leurs adresses IP peuvent être enregistrées par Tencent ou Google lorsqu'ils utilisent le navigateur Safari. Cependant, cela rend les sessions de navigation moins sûres et rend les utilisateurs vulnérables lors de l'accès à des sites Web frauduleux.

    En effet, Safe Browsing est un service de liste noire fourni par des tiers comme Google et Tencent qui fournissent des listes d'URL pour les ressources Web qui contiennent des logiciels malveillants ou du contenu de phishing. Les navigateurs Web Google Chrome, Safari, Mozilla Firefox, Vivaldi et GNOME utilisent les listes du service Google Safe Browsing pour vérifier les pages contre les menaces potentielles. Par contre, Apple utilise à la fois les services Google Safe Browsing et Tencent Safe Browsing (qu'il a ajouté récemment) pour les utilisateurs résidant en Chine.

    Selon certains commentaires sur Twitter, l’ajout de Tencent comme service Safe Browsing par Apple aurait commencé en février de cette année avec iOS 12.2 bêta. Il utilisait Google Safe Browsing depuis un certain temps. Le problème vient du fait que, mis à part l’adresse IP des utilisateurs, l’on ignore la nature exacte des autres informations envoyées par le navigateur Safari à Google et en particulier à Tencent. Cette pratique de la société vient encore rajouter une couche aux rumeurs qui circulent depuis peu sur les relations entre la Chine et Apple.

    D’après d’autres sources, Tencent ne recevrait pas uniquement les informations d'internautes chinois, il pourrait aussi recevoir celles d’autres internautes dans le monde. De plus, Reclaim the Net a mentionné que Safari est non seulement le navigateur par défaut sur les appareils iOS, mais selon de récentes statistiques, il s'agit du navigateur Internet mobile le plus populaire aux États-Unis, avec une part de marché de plus de 50%. Et ce qui pourrait sembler encore plus déroutant, c’est qu'il est presque impossible de vous passer du navigateur Safari sur iOS.

    Toujours selon le rapport de Reclaim the Net, vous pouvez tenter de vous passer de Safari en installant un navigateur tiers. Toutefois, si vous affichez une page Web dans une application, elle s’ouvre toujours sous une forme intégrée de Safari appelée Safari View Controller. Par défaut, les liens au sein des applications ouvrent également Safari. Essentiellement, il est très difficile d'éviter d'utiliser Safari sur iOS. L’autre problème dans le fait de voir Tencent récolter ces données, c’est qu’il est étroitement lié au régime chinois, et au Parti communiste du pays.

    Tencent est le propriétaire du réseau social chinois WeChat et collaborerait étroitement avec le Parti communiste chinois pour faciliter la censure mise en place par Pékin pour empêcher la diffusion d'informations négatives sur le gouvernement. Tencent est également le propriétaire de l’application de messagerie instantanée QQ. La société disposerait des moyens pouvant lui permettre de faire converger les IP récupérées avec celles de ses utilisateurs. Cela plonge Apple dans une position délicate alors que les récentes critiques envers la société ne se sont pas encore apaisées.

    Le comportement de la multinationale américaine soulève plusieurs problèmes au regard des récents événements qui ont eu lieu à Hong Kong. Une adresse IP peut dévoiler la localisation d’une personne. De plus, elle peut également permettre à celui qui la possède de suivre un utilisateur à travers plusieurs appareils (ordinateur, smartphone, etc.). Dans un objectif de marketing ou publicitaire, cet aspect est évidemment intéressant, mais avec la Chine et ses nombreux programmes de surveillance, cela ne serait peut-être pas ce à quoi les gens penseront en premier.

    Apple ploie-t-il trop le genou devant la Chine au risque de perdre sa part de marché dans l’Empire du Milieu ? À la demande du gouvernement chinois, Apple a retiré la semaine passée l’application HKmap Live de l’App Store, après l’avoir accepté précédemment. La Chine a accusé l’application de mettre en dangers les policiers et Tim Cook a indiqué dans une lettre la semaine que l’entreprise a reçu des preuves de cela de la part du gouvernement chinois. Bien avant cela, la société avait censuré le drapeau taïwanais pour les utilisateurs d’iOS de la ville de Hong-Kong.

    Ailleurs, l’on estime qu’à nouveau, et en peu de temps, l’entreprise dirigée par Tim Cook s’illustre en allant à l’encontre de ses valeurs. Dans sa lettre de la semaine passée envoyée en interne aux employés, Tim Cook a défendu les agissements de la société, mais le patron d’Apple n’aurait pas réussi à mettre tout le monde d’accord sur le sujet.

    Source : Reclaim the Net

    Et vous ?

    Qu'en pensez-vous ?
    Apple fait-il trop de compromis avec le gouvernement chinois selon vous ?

    Voir aussi

    Tim Cook défend la décision de retirer l'application de Hong Kong Maps (HKmap Live) dans un mail adressé aux employés de la société

    Apple censure l'émoji du drapeau taïwanais pour les utilisateurs iOS de la ville de Hong-Kong, mais il y a toujours un moyen de l'utiliser

    Blizzard s'exprime sur le bannissement du joueur de Heartstone qui avait déclaré son soutien aux manifestants de Hong Kong et décide de lui remettre sa prime

    App Store : après les avertissements de la Chine, Apple finit par éjecter l'application HKmap Live qui permet aux manifestants de Hong Kong d'éviter la police
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté

    Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    février 2004
    Messages
    642
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information

    Informations forums :
    Inscription : février 2004
    Messages : 642
    Points : 1 419
    Points
    1 419
    Par défaut
    Apple c'est le mal.

  3. #3
    Membre averti
    Femme Profil pro
    Inscrit en
    juillet 2012
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Italie

    Informations forums :
    Inscription : juillet 2012
    Messages : 106
    Points : 373
    Points
    373
    Par défaut
    "champion de la vie privée" ahahahahahhahaha mais vraiment quelqu'un a cru ça?
    Apple c'est le mal comme google, facebook, M$ etc. ils respectent seulement le dieu argent

  4. #4
    Rédacteur
    Avatar de Franck.H
    Homme Profil pro
    Développeur .NET
    Inscrit en
    janvier 2004
    Messages
    6 933
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Service public

    Informations forums :
    Inscription : janvier 2004
    Messages : 6 933
    Points : 12 400
    Points
    12 400
    Par défaut
    LA question est: y-a-t-il réellement un constructeur ou une société qui protège vraiment les données personnelles ??
    Mon Site
    Ma bibliothèque de gestion des chaînes de caractères en C

    L'imagination est plus importante que le savoir. A. Einstein

    Je ne répond à aucune question technique par MP, merci d'avance !

  5. #5
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    5 981
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 5 981
    Points : 9 064
    Points
    9 064
    Par défaut
    Citation Envoyé par Franck.H Voir le message
    y-a-t-il réellement un constructeur ou une société
    Depuis les déclarations de Snowden on sait que les entreprises sont contraintes de collaborer avec le gouvernement US.
    Yahoo aurait espionné les emails de ses clients pour le FBI ou la NSA ce qui aurait causé le départ de l’expert en sécurité Alex Stamos pour Facebook
    La NSA aurait un plan pour espionner les téléphones Android et aurait encore caché des failles dans UC Browser afin de les exploiter
    Des ingénieurs sécurité Google disent « Fuck you » à la NSA, après les révélations du programme d'écoute Muscular
    Espionnage : introduction des backdoor par la NSA dans les produits de Cisco
    Espionnage : le gouvernement américain a-t-il tenté d’intégrer un backdoor dans Linux ? La réponse de Linus Torvalds laisse planer le doute
    Le projet PRISM autorise les fédéraux américains à fouiller nos données stockées en ligne un ancien employé aux renseignements le dévoile
    Se basant sur des fuites d'un ancien employé au renseignement américain, l'éditorial américain Washington Post a révélé que l'agence de sécurité nationale américaine (NSA) et le FBI avaient accès aux bases de données de neuf poids lourds sur internet, parmi lesquels Facebook, Google ou même encore plus récemment Apple.
    Bon apparemment Linux a résisté, mais c'est plus l'exception que la règle, plus t'es gros, plus on t'obliges à te soumettre.
    Si les entreprises collaborent avec les USA elles peuvent collaborer avec la Chine.
    Keith Flint 1969 - 2019

  6. #6
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 055
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 055
    Points : 3 800
    Points
    3 800
    Par défaut
    Il s'est écoulé 6 ans depuis l'affaire Snowden. Donc je spécule sur une aggravation de la situation.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  7. #7
    Futur Membre du Club
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    octobre 2019
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Responsable de service informatique

    Informations forums :
    Inscription : octobre 2019
    Messages : 4
    Points : 6
    Points
    6
    Par défaut
    Concrètement, si vous lisez plus en détail ce dont il s'agit, vous verrez qu'Apple utilise des services (2 dont un chinois) de validation d'URL. Comme le terminal fait une requête vers le service, votre IP peut être logguée lors de l'usage de ce service. De même, lorsque je poste un message sur ce forum, mon IP a été collectée dans les log du site.
    Si vous naviguez au travers d'un proxy anonymisant (ou un VPN), ce sera l'IP intermédiaire qui sera stockée, etc.

    En fait, conformément à la réglementation sur l'utilisation des données, Apple informe des données transmises à des tiers et je ne vois pas comment transmettre moins que son IP tout en appelant un service.
    On peut se dire que le service pourrait être desactivé par défaut mais personne ne l'activerait sauf les utilisateurs avancés, donc le choix n'est pas évidemment liberticide mais plus naturel pour protéger l'utilisateur.

    Attention à la volonté de beaucoup de faire le buzz sur un sujet basique.

  8. #8
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    5 981
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 5 981
    Points : 9 064
    Points
    9 064
    Par défaut
    Citation Envoyé par Bill Fassinou Voir le message
    Cette section est accessible sur un périphérique iOS en ouvrant l’application Paramètres, puis en sélectionnant « Safari > À propos de la confidentialité et de la sécurité ». À ce stade, Apple a expliqué que, pour s’assurer de la sécurité d’une page Web que vous êtes sur le point de visiter, le navigateur envoie certaines données de navigations, y compris votre adresse IP, à Google Safe Browsing et à Tencent Safe Browsing pour qu’ils effectuent cette vérification. À la fin de la déclaration, il est également mentionné que ces fournisseurs peuvent enregistrer votre adresse IP.
    Pourquoi d'autres informations que l'URL sont envoyés ?
    En gros Google Safe Browsing et Tencent Safe Browsing sont des listes noires de site frauduleux, Apple pourrait servir d'intermédiaire entre les le navigateur et ces services (la navigateur enverrait des infos à Apple, mais Apple ne transmettrait que l'URL à Google Safe Browsing).

    ===
    Le truc gênant avec Apple c'est que la société communique sur la sécurité des données (pourtant il y a eu le fappenning (piratage des photos et vidéos du cloud)).
    Keith Flint 1969 - 2019

  9. #9
    Futur Membre du Club
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    octobre 2019
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Responsable de service informatique

    Informations forums :
    Inscription : octobre 2019
    Messages : 4
    Points : 6
    Points
    6
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    Pourquoi d'autres informations que l'URL sont envoyés ?
    En gros Google Safe Browsing et Tencent Safe Browsing sont des listes noires de site frauduleux, Apple pourrait servir d'intermédiaire entre les le navigateur et ces services (la navigateur enverrait des infos à Apple, mais Apple ne transmettrait que l'URL à Google Safe Browsing).

    ===
    Le truc gênant avec Apple c'est que la société communique sur la sécurité des données (pourtant il y a eu le fappenning (piratage des photos et vidéos du cloud)).
    Apple se ferait proxy de toutes ces requêtes ? Ça ferait un sacré volume pour une société dont le métier n'est pas directement le web. (après, je ne sais pas comment ils ont implémenté eux-même le truc).
    De fait, l'adresse IP est le truc qu'on transmet un peu partout sur la toile (logique puisque nécessaire) et ne pas vouloir la diffuser, ça demande une action de l'utilisateur final pour mettre en place une solution de reverse proxy / VPN. Aucune possibilité que par défaut on soit protégé contre ça, sauf à espérer que le fournisseur du téléphone fasse passer de son côté 100% de vos échanges (mais je trouverais ça beaucoup plus flippant). Pour le sujet des validations d'URL, on a pas conscience de faire ces requêtes et c'est vrai qu'il faut lire de petites mentions que tout le monde ignore pour savoir qu'on y fait appel (et savoir qu'on fait appel à Tencent dans un pays où Google est bloqué, je pense que tous les chinois utilisant le net ont conscience de ces problématiques).

    Après, sur la communication, il ne faut pas mélanger "sécurité" et "confidentialité", même si deux choses sont partiellement liées. Pour moi Apple communique sur la confidentialité (ne pas utiliser nos données à des fins commerciales en particulier) par opposition aux services gratuits où on est le produit. Cela ne signifie pas qu'il ne soit pas vulnérable à des failles de sécurité (tout le monde l'est). Sur la sécurité, ils se gardent pas mal de communiquer (et ils sont pas forcément très pertinents en temps de réponse sur des failles qui leur sont divulguées, grosse faiblesse à mon avis) car vis-à-vis du grand public, mettre en avant un truc que le client prend pour acquis, c'est juste tendre le bâton quand il y a des soucis avérés.

    P.S- le fappenning, c'était du piratage de compte icloud mais je crois que ça ne passait par aucune vulnérabilité technique mais par du social hacking (mot de passe récupéré/ trop faible ou fonction récupérer mon mot de passe + question perso trop facile, etc...) donc montrant encore une fois que la faiblesse la plus exploitable n'est pas sur les terminaux mais dans les mains des utilisateurs.

    P.P.S- Si vous utilisez un navigateur comme Chrome ou Firefox, peu importe votre OS, il y aura aussi utilisation de Google Safe Browsing et donc des transmissions occasionnelles de votre IP à Google.

  10. #10
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    5 981
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 5 981
    Points : 9 064
    Points
    9 064
    Par défaut
    Citation Envoyé par sylfraor Voir le message
    Pour moi Apple communique sur la confidentialité (ne pas utiliser nos données à des fins commerciales en particulier) par opposition aux services gratuits où on est le produit.
    Ben là c'est pas hyper confidentiel, Safari envoie l'IP des utilisateurs de Safari à Google Safe Search
    Le consommateur pense qu'aucune de ses infos n'ira chez Google et en fait si.

    Keith Flint 1969 - 2019

  11. #11
    Futur Membre du Club
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    octobre 2019
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Responsable de service informatique

    Informations forums :
    Inscription : octobre 2019
    Messages : 4
    Points : 6
    Points
    6
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    Ben là c'est pas hyper confidentiel, Safari envoie l'IP des utilisateurs de Safari à Google Safe Search
    Le consommateur pense qu'aucune de ses infos n'ira chez Google et en fait si.
    Pensez-vous que de ne pas avoir un safe browsing activé par défaut permettrait une meilleur confidentialité des données des utilisateurs du net en général ?
    Tous les browser le font actuellement, même Firefox, parce que pour les gens non expert, l'existence de ce choix n'a aucun sens et la probabilité de laisser fuir plus grave que son IP est bien réelle voir massive.

    (Si vous avez peur de transmettre votre IP, vous êtes vite paralysée sur le net, et ce depuis l'adoption du protocole IP.
    et si vous avez de bonne raison de vouloir cette anonymisation, vous n'êtes plus le commun des mortels et vous saurez vite comment faire, sans compter le volume de publicité de certains fournisseurs de VPN)

  12. #12
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    5 981
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 5 981
    Points : 9 064
    Points
    9 064
    Par défaut
    Moi perso je m'en fous que le gouvernement me surveille...
    Mais il y a des Hongkongais qui préféreraient que Tencent Holdings ne connaisse pas toutes les adresses qu'ils visitent.
    Peut-être que des gens de HongKong se méfient des smartphones chinois et qu'ils achètent des produits Apple en se disant que la société ne doit pas collaborer avec le gouvernement chinois.
    Keith Flint 1969 - 2019

  13. #13
    Futur Membre du Club
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    octobre 2019
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Responsable de service informatique

    Informations forums :
    Inscription : octobre 2019
    Messages : 4
    Points : 6
    Points
    6
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    Moi perso je m'en fous que le gouvernement me surveille...
    Mais il y a des Hongkongais qui préféreraient que Tencent Holdings ne connaisse pas toutes les adresses qu'ils visitent.
    Peut-être que des gens de HongKong se méfient des smartphones chinois et qu'ils achètent des produits Apple en se disant que la société ne doit pas collaborer avec le gouvernement chinois.
    Tencent ne reçoit pas les URL, il renvoie la liste des URL dangereuses lorsque le navigateur lui demande (ce qui fait que l'adresse IP est transmise à ce moment là). Donc Tencent peut savoir qu'une adresse IP donnée envisage d'aller sur le web, sans plus d'information. Ils sont nombreux à Hong-Kong dans ce cas, manifestant ou pas.
    https://twitter.com/markgurman/statu...75355733188608

  14. #14
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juin 2016
    Messages
    919
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 919
    Points : 25 507
    Points
    25 507
    Par défaut Apple rassure que son navigateur Safari ne partage que les adresses IP, et pas les URL, des utilisateurs
    Apple rassure que son navigateur Safari ne partage que les adresses IP, et pas les URL, de certains utilisateurs
    avec ses fournisseurs de services de navigation sécurisée

    La semaine passée, Reclaim the Net, un site Web de cybersécurité, a déclenché une vague de réactions sur la toile après avoir publié un rapport indiquant qu’Apple partage les adresses IP des utilisateurs d’iOS localisés en Chine avec Tencent Holdings. D’après la rumeur, Tencent serait lié au gouvernement communiste chinois et ne recevrait pas que les adresses IP, mais également d’autres informations de navigation. Apple a réagi à cette rumeur cette semaine en déclarant que l’entreprise ne transmettait pas les URL de Safari à Tencent, mais uniquement les adresses IP.

    Un rapport de Reclaim the Net a révélé la semaine passée qu’Apple a ajouté les contrôles Tencent Safe Browsing aux contrôles Google Safe Browsing existants dans son navigateur Web Safari dans le mois de février dernier. « On sait maintenant qu'Apple, qui se positionne souvent comme un champion de la vie privée et des droits de l'homme, envoie les adresses IP des utilisateurs de son navigateur Safari sur iOS au conglomérat chinois Tencent, une entreprise étroitement liée au Parti communiste chinois », mentionne le rapport de Reclaim the Net.

    En effet, Safari reçoit une liste de préfixes de hachage d’URL réputées malveillantes de Google ou de Tencent, en choisissant entre eux en fonction du paramètre de région de l’appareil (Tencent pour la Chine, Google pour les autres pays). Les préfixes de hachage sont les mêmes pour plusieurs URL, ce qui signifie que le préfixe de hachage reçu par Safari n'identifie pas de manière unique une URL. Avant de charger un site Web, Safari vérifie si l'URL d'un site Web a un préfixe de hachage correspondant aux préfixes de hachage des sites malveillants.

    Ceci représente le cas où la fonctionnalité de Safari "Fraudulent Website Warning" est activée (Avertissement de site Web frauduleux). Si une correspondance est trouvée, Safari envoie le préfixe de hachage à son fournisseur de navigation sécurisé, puis demande la liste complète des URL comportant un préfixe de hachage qui correspond à celui suspect. Lorsque Safari reçoit la liste des URL, il compare l'URL suspecte d'origine à la liste. S'il existe une correspondance, Safari affiche la boîte de dialogue d'avertissement suggérant aux utilisateurs de rester en dehors du site.

    Cependant, les contrôles Tencent Safe Browsing permettent aussi à Safari de partager l’adresse IP de certains utilisateurs d’iOS avec Tencent. « Avant de visiter un site Web, Safari peut envoyer les informations calculées à partir de l'adresse du site Web à Google Safe Browsing et à Tencent Safe Browsing afin de vérifier si le site Web est frauduleux. Ces fournisseurs de navigation sécurisés peuvent également enregistrer votre adresse IP », indique la description faite par Apple de la fonctionnalité "Fraudulent Website Warning".

    Nom : z1.png
Affichages : 829
Taille : 176,3 Ko

    Toutefois, la rumeur s’est très vite répandue que Tencent recevrait également d'autres données de navigation des usagers d’iOS à l’instar des adresses IP. Apple a réagi à ces allégations cette semaine en indiquant que Safari n’envoyait pas les données de navigation, notamment les URL, à Tencent, mais uniquement les adresses IP. Apple a publié une déclaration assurant aux clients que les URL de sites Web ne sont pas partagées avec ses fournisseurs de navigation sécurisés. À noter que Safari utilise à la fois Google Safe Browsing et à Tencent Safe Browsing (ajouté récemment).

    « Apple protège la vie privée des utilisateurs et protège vos données avec "Safari Fraudulent Website Warning", une fonctionnalité de sécurité qui signale les sites Web connus pour être de nature malveillante. Lorsque cette fonction est activée, Safari vérifie l'URL du site Web par rapport à des listes de sites Web connus et affiche un avertissement si l'URL que l'utilisateur visite est soupçonnée d’un comportement frauduleux comme du phishing », a déclaré un porte-parole d'Apple dans un communiqué envoyé cette semaine au média The Register.

    « Pour accomplir cette tâche, Safari reçoit une liste de sites Web connus pour être malveillants de Google, et pour les appareils dont le code régional est défini sur Chine continentale, il reçoit une liste de Tencent. L'URL réelle d'un site Web que vous visitez n'est jamais partagée avec un fournisseur de navigation sûr et la fonction peut être désactivée », a-t-il ajouté. Apple a rassuré qu’il ne partage que les adresses IP des utilisateurs avec ses fournisseurs de navigation sûrs, mais là aussi, il y a un problème. Les adresses IP peuvent servir à beaucoup de choses.

    Une adresse IP peut dévoiler la localisation d’une personne. De plus, elle peut également permettre à celui qui la possède de surveiller un utilisateur à travers plusieurs appareils (ordinateur, smartphone, etc.). Dans un objectif de marketing ou publicitaire, cet aspect est évidemment intéressant, mais avec la Chine et les programmes de surveillance dont elle dispose, cela n’est peut-être pas ce à quoi les gens penseront en premier. La fonctionnalité "Fraudulent Website Warning" de Safari peut être désactivée, mais cela rendra la navigation sur Internet moins sûre.

    Certains soulignent des problèmes de confidentialité potentiels liés aux API de navigation sécurisée

    La navigation serait moins sûre si cette fonctionnalité est désactivée et d'autres navigateurs comme Firefox, Vivaldi et GNOME l’utilisent d’ailleurs, mais certains ont cependant souligné quelques problèmes de confidentialité potentiels liés aux API de navigation sécurisées telles que celles de Google. Dans un article de blogue publié dimanche, Matthew Green, professeur agrégé d'informatique au Johns Hopkins Information Security Institute (Institut de sécurité des informations Johns Hopkins) a fait quelques remarques par rapport à l’utilisation de ces services.

    Matthew Green a déclaré que dans la première version de Safe Browsing (navigation privée) de Google, il s'agissait simplement d'une API de Google qui permettait à votre navigateur d'interroger Google sur la sécurité des URL que vous avez visitées. Comme les serveurs de Google reçoivent l'URL complète, ainsi que votre adresse IP (et éventuellement un cookie de suivi pour éviter tout déni de service), cette première API a été une sorte de cauchemar pour la confidentialité. (Cette API existe toujours, et est supportée aujourd'hui sous le nom de "Lookup API").

    Pour répondre à ces préoccupations, Google a rapidement mis au point une approche plus sûre pour « naviguer en toute sécurité ». La nouvelle approche s'appelle "Update API", et elle fonctionne comme ceci :

    • Google calcule d'abord le hachage SHA256 de chaque URL non sécurisée de sa base de données et tronque chaque hachage jusqu'à un préfixe de 32 bits pour gagner de la place ;
    • Google envoie la base de données des hachages tronqués à votre navigateur ;
    • chaque fois que vous visitez une URL, votre navigateur la hache et vérifie si son préfixe 32 bits est contenu dans votre base de données locale ;
    • si le préfixe se trouve dans la copie locale du navigateur, votre navigateur envoie maintenant le préfixe aux serveurs de Google, qui renvoient une liste de tous les hachages 256 bits des URL correspondantes, afin que votre navigateur puisse vérifier la correspondance exacte.


    Selon le professeur Green, à chacune de ces demandes, les serveurs de Google voient votre adresse IP, ainsi que d'autres informations d'identification. Il a ajouté qu’il est également possible que Google mette un cookie dans votre navigateur au cours de certaines de ces demandes. L'API de navigation sécurisée ne dit pas grand-chose à ce sujet aujourd'hui, mais selon lui, ce comportement s’observerait déjà en 2012. D’après Green, la faiblesse de cette approche est qu'elle ne fournit qu'une certaine confidentialité. L'utilisateur type ne se contente pas de visiter une seule URL, il parcourt des milliers d'URL au fil du temps.

    Ainsi, cela signifie qu'à la longue, un fournisseur malveillant peut avoir beaucoup de possibilités qui lui permettront de désanonymiser cet utilisateur. Un utilisateur qui navigue sur de nombreux sites Web connexes divulguera progressivement des détails sur son historique de navigation au fournisseur. En supposant que le fournisseur est malveillant et peut relier les demandes. À ce stade, l’on estime que le chinois Tencent disposerait des moyens pouvant lui permettre de faire converger les IP récupérés avec celles de ses utilisateurs.

    Il a également souligné que Google Safe Browsing “Update API” n'a jamais été exactement sûr. « Son but n'a jamais été d'offrir une confidentialité aux utilisateurs, mais plutôt de dégrader la qualité des données de navigation que les fournisseurs recueillent », a-t-il déclaré. « Dans le modèle de menace de Google, nous (en tant que communauté centrée sur la confidentialité) avons largement conclu que la protection des utilisateurs contre les sites malveillants valait le risque encouru », a ajouté Green.

    L’API de Tencent fonctionne-t-elle de la même manière que celle de Google ? Selon Green, Tencent n’est pas Google et l’entreprise chinoise peut bien fournir un service sûr, mais étant lié au gouvernement communiste chinois, il serait probablement très difficile pour les utilisateurs de lui faire confiance. « À tout le moins, les utilisateurs devraient être informés de ces changements avant qu'Apple ne mette la fonctionnalité en production et demande donc à des millions de leurs clients de leur faire confiance », a déclaré le professeur Matthew Green.

    Plusieurs personnes pensent qu’Apple s’est illustré en peu de temps en allant à l’encontre de ses valeurs. Selon le professeur Green, on a l'impression qu'Apple est deux sociétés différentes : l'une qui fait passer la liberté de ses utilisateurs en premier (ailleurs dans le monde) et l'autre qui traite ses utilisateurs très différemment (en Chine continentale). Ce dernier se demande si Apple peut naviguer dans ce trouble de la double personnalité tout en conservant son intégrité.

    Sources : The Register, Matthew Green

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi

    Le navigateur Safari d'Apple envoie les adresses IP de certains utilisateurs à Tencent en Chine

    Tim Cook défend la décision de retirer l'application de Hong Kong Maps (HKmap Live) dans un mail adressé aux employés de la société

    Apple censure l'émoji du drapeau taïwanais pour les utilisateurs iOS de la ville de Hong-Kong, mais il y a toujours un moyen de l'utiliser

    Blizzard s'exprime sur le bannissement du joueur de Heartstone qui avait déclaré son soutien aux manifestants de Hong Kong et décide de lui remettre sa prime
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  15. #15
    Membre extrêmement actif

    Homme Profil pro
    Écrivain public, Économiste et Programmeur Free Pascal
    Inscrit en
    août 2005
    Messages
    301
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Écrivain public, Économiste et Programmeur Free Pascal
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2005
    Messages : 301
    Points : 1 081
    Points
    1 081
    Billets dans le blog
    40
    Par défaut
    Falsifier une quelconque URL par une autre déclasse tout navigateur.

    Une IP permet de cibler un groupe ou une personne.

  16. #16
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    5 981
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 5 981
    Points : 9 064
    Points
    9 064
    Par défaut
    Ah ben tiens on dirait que l'info du journaliste de Blomberg était fausse !
    Keith Flint 1969 - 2019

  17. #17
    Membre actif
    Inscrit en
    juin 2005
    Messages
    162
    Détails du profil
    Informations forums :
    Inscription : juin 2005
    Messages : 162
    Points : 277
    Points
    277
    Par défaut
    C'est marrant le "Apple bashing", quand ils ne sont pas tout à fait "les méchants" il y a nettement moins de commentaires.

  18. #18
    Membre éprouvé

    Homme Profil pro
    Architecte réseau
    Inscrit en
    avril 2018
    Messages
    476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : avril 2018
    Messages : 476
    Points : 1 118
    Points
    1 118
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Bill Fassinou Voir le message
    Plusieurs personnes pensent qu’Apple s’est illustré en peu de temps en allant à l’encontre de ses valeurs. Selon le professeur Green, on a l'impression qu'Apple est deux sociétés différentes : l'une qui fait passer la liberté de ses utilisateurs en premier (ailleurs dans le monde) et l'autre qui traite ses utilisateurs très différemment (en Chine continentale). Ce dernier se demande si Apple peut naviguer dans ce trouble de la double personnalité tout en conservant son intégrité.
    Ca, c'est une constante du marché de l'IT en Chine.
    Cf les casseroles trainées par Cisco, Google, Juniper, Alcatel, Microsoft, IBM, etc.

    Citation Envoyé par Bill Fassinou Voir le message
    Une adresse IP peut dévoiler la localisation d’une personne. De plus, elle peut également permettre à celui qui la possède de surveiller un utilisateur à travers plusieurs appareils (ordinateur, smartphone, etc.).
    Citation Envoyé par Bill Fassinou Voir le message
    Ainsi, cela signifie qu'à la longue, un fournisseur malveillant peut avoir beaucoup de possibilités qui lui permettront de désanonymiser cet utilisateur. Un utilisateur qui navigue sur de nombreux sites Web connexes divulguera progressivement des détails sur son historique de navigation au fournisseur. En supposant que le fournisseur est malveillant et peut relier les demandes. À ce stade, l’on estime que le chinois Tencent disposerait des moyens pouvant lui permettre de faire converger les IP récupérés avec celles de ses utilisateurs.
    Le FTTH couvre 90% des zones urbaines en Chine...
    Quand tu bootes ton PC, confortablement installé dans ton canapé, ton FAI est capable de te dire dans quel appartement tu crèches. Et là, je ne plaisante pas puisque c'est une anecdote qui m'a été relatée par un ami chinois qui venait juste d'avoir la fibre... Suite à un problème, il appelle son FAI qui lui demande les infos ipconfig et son interlocuteur lui dit "ok, vous êtes bien Mr machin, 3ème étage, appartement 15 ?"
    Un jour, il passe une soirée chez le voisin du dessus...
    Et en scrutant l'IP acquise sur son PC qu'il avait emmené avec lui, il a rapidement conclu que dans un building avec un "pied d'immeuble" mutualisé, ils distribuent les réseaux privés de façon unique 192.168.1.0/24, 192.168.2.0/24, etc pour un meilleur tracking. Donc grosso merdo, là-bas, donnes-moi ton IP, même privée, je te dirai qui tu es et où tu habites
    La frite sur le McDo, c'est que quand il a réceptionné son installation, il a dû signer un papier qui l'engageait à ne jamais communiquer son MdP WPA2 à une personne quelconque en dehors de son foyer familial

    Bon, maintenant qu'on sait que l'IP est à 90% désanonymisée en Chine, il suffit effectivement pour un "fournisseur malveillant" (entre guillemets parce qu'ils sont tous maveillants ) de tracker les URL et le deal est fait

    -VX

Discussions similaires

  1. Réponses: 14
    Dernier message: 23/10/2012, 11h14
  2. Réponses: 1
    Dernier message: 13/01/2012, 14h43
  3. Un png s'affiche sous Safari mais pas dans les autres navigateurs
    Par G-First dans le forum Balisage (X)HTML et validation W3C
    Réponses: 0
    Dernier message: 25/03/2010, 09h15
  4. Réponses: 32
    Dernier message: 18/06/2007, 09h28
  5. Réponses: 2
    Dernier message: 04/06/2007, 19h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo