Discussion :

[Stéphane le calme]

Facebook prévoit de perdre 10 milliards de dollars de revenus à cause des fonctions de confidentialité sur iOS,
qui rendent le pistage des mobinautes plus difficile depuis le lancement d'iOS 14.5

Meta, la maison-mère de Facebook, a annoncé avoir réalisé un chiffre d'affaires de 33,67 milliards de dollars au quatrième trimestre 2021, ce qui représente une hausse de 20 % par rapport à 2020, pour un revenu net de 10 29 milliards de dollars. Les analystes prévoyaient un chiffre d'affaires de 33,41 milliards de dollars. Malgré un chiffre d'affaires supérieur aux attentes, le bénéfice par action était inférieur aux attentes des analystes. Facebook, renommé Meta, a également proposé des prévisions inférieures pour le premier trimestre 2022, affirmant qu'il s'attendrait à environ 27 à 29 milliards de dollars de revenus, en deçà des attentes de 30 milliards de dollars.

Comme il l'a fait dans le passé, Facebook a rejeté la responsabilité de ses performances plus faibles au cours du dernier trimestre sur les mesures prises par Apple pour améliorer la confidentialité des utilisateurs. Plus particulièrement, le groupe a noté que le framework App Tracking Transparency (ATT) d'Apple, qui oblige les applications à demander l'autorisation des utilisateurs avant de les suivre sur d'autres applications et sites Web, a un impact négatif sur les activités de Facebook, a déclaré la directrice de l'exploitation de la société, Sheryl Sandberg, lors de l'appel aux résultats.

Lors de la conférence WWDC 2020, Apple a annoncé qu’avec la sortie d’iOS 14, l’IDFA serait désormais une fonctionnalité exclusivement opt-in et que les utilisateurs devraient donner leur consentement explicite à la fois à l’annonceur et aux apps de destination pour les autoriser à « les suivre sur Internet ». IDFA est l’acronyme anglais de « IDentifier For Advertisers » (en français, identifiant de publicité), il s’agit d’une série de lettres et de chiffres unique à chaque appareil iOS, par exemple, EA7583CD-A667-48BC-B806-42ECB2B48606. L’IDFA est la norme adoptée par Apple permettant aux réseaux publicitaires mobiles de suivre des utilisateurs et de leur diffuser des publicités ciblées. Il en va de même pour les applications publicitaires, leurs partenaires publicitaires et leurs partenaires d’attribution.

Avec la mise à jour de son système d'exploitation, notamment iOS 14, Apple allait apporter aux utilisateurs des paramètres de confidentialité pour réduire le ciblage publicitaire : il était prévu que chaque application qui souhaite faire usage de ces identifiants demande aux utilisateurs d'opter pour le suivi lors du premier lancement de l'application.

Selon Facebook, l’une des solutions qui seraient les plus durement touchées par l’approche d’Apple est son outil publicitaire Audience Network. Ce dernier permet aux annonceurs d'étendre leurs campagnes Facebook et Instagram à l'ensemble d'Internet au travers de milliers d'applications de haute qualité. Ce réseau d'audience de l’entreprise aide les développeurs de logiciels pour les plateformes mobiles à fournir des publicités in-app ciblées aux utilisateurs en fonction des données de Facebook. Facebook prétend qu’il ne serait plus d’aucune utilité si l’iOS 14 voyait le jour ainsi.

« Les mises à jour prévues par Apple rendraient Audience Network tellement inefficace sur iOS 14 qu'il ne serait pas logique de le proposer sur iOS 14 », a déclaré Facebook. Le groupe a estimé que plus d'un milliard de personnes regardent au moins une publicité du réseau d'audience chaque mois, bien que beaucoup d'entre elles utilisent probablement des téléphones Android et ne seraient pas touchées par ce changement. Ainsi, la société craignait que les utilisateurs n'optent pas pour le suivi lorsqu'ils en ont le choix.

Face aux plaintes des enseignes technologiques, Apple a retardé la sortie de la fonctionnalité qui n'a été déployée que depuis iOS 14.5, publié en avril 2021. Cette version a donc bénéficié de l’App Tracking Transparency. En deux semaines, 96 % des utilisateurs d'iPhone aux États-Unis ont refusé le suivi des applications, selon la société d'analyse d'applications Flurry.

Meta prévient les investisseurs

Lors d'un appel avec les investisseurs pour commenter les résultats trimestriels de l'entreprise et évoquer les projections, Sheryl Sandberg, la directrice de l'exploitation de la société, a déclaré :

« Tout d'abord, les publicités. Comme d'autres dans notre industrie, nous avons été confrontés à des vents contraires à la suite des changements iOS d'Apple. Comme nous l'avons décrit au dernier trimestre, Apple a créé deux défis pour les annonceurs. Le premier est que la précision du ciblage de nos annonces a diminué, ce qui a augmenté le coût des résultats. L'autre est que la mesure de ces résultats est devenue plus difficile ».

Les impacts des mesures de confidentialité d'Apple représenteront des défis plus importants pour les activités de Facebook au cours du prochain trimestre, selon le directeur financier de Facebook, David Wehner. « Et nous pensons que l'impact global d'iOS en tant que vent contraire sur notre entreprise en 2022 est de l'ordre de 10 milliards de dollars, c'est donc un vent contraire assez important pour notre entreprise », a déclaré Wehner.

Wehner a précisé que les 10 milliards de dollars de revenus touchés cette année n'étaient qu'une estimation : « Nous estimons simplement ce que nous pensons être l'impact global des modifications cumulatives d'iOS sur les prévisions de revenus de 2022 », a déclaré Wehner. « Si vous regroupez les changements que nous constatons sur iOS, c'est l'ordre de grandeur. Nous ne pouvons pas être précis à ce sujet. C'est une estimation ».

Wehner a également accusé Apple de favoriser Google dans sa politique de confidentialité. Wehner a déclaré qu'ATT dispense les navigateurs de demander aux utilisateurs l'autorisation de les suivre sur d'autres applications et sites Web, permettant ainsi aux navigateurs comme Chrome d'être plus efficaces pour suivre les utilisateurs à des fins publicitaires personnalisées.

Wehner a accusé Apple de favoriser la recherche d'annonces de Google puisque « Apple continue de prélever des milliards de dollars par an sur les annonces de recherche Google, [donc] une incitation existe clairement pour que cette divergence de politique se poursuive » :

« Nous pensons que ces restrictions d'Apple sont conçues de manière à exclure les navigateurs des invites de suivi requises par Apple pour les applications. Cela signifie donc que les annonces de recherche pourraient avoir accès à beaucoup plus de données tierces à des fins de mesure et d'optimisation que les plateformes publicitaires basées sur des applications comme la nôtre.»

« Par conséquent, nous pensons que l'activité d'annonces de recherche de Google aurait pu être favorisée par rapport à des services comme le nôtre qui sont confrontés à un ensemble différent de restrictions d'Apple. Et étant donné qu'Apple continue de prélever des milliards de dollars par an sur les publicités de recherche Google, il existe clairement une incitation à ce que cette divergence de politique se poursuive ».

Les utilisateurs actifs quotidiens (DAU) ont également été touchés au cours du dernier trimestre, Facebook signalant pour la première fois une baisse du nombre d'utilisateurs quotidiens utilisant sa plateforme. Les DAU se sont élevées à 1,93 milliard au dernier trimestre 2021, en baisse par rapport à 1,95 milliard au trimestre précédent. Néanmoins, Wehner a décidé de ne se focaliser que sur la différence annuelle. Aussi, il a déclaré lors de l'appel sur les résultats de la société que les DAU avaient augmenté de 5 % d'une année sur l'autre :

« Nous estimons qu'environ 2,8 milliards de personnes ont utilisé au moins une de nos familles d'applications quotidiennement en décembre, et qu'environ 3,6 milliards de personnes en ont utilisé au moins une par mois. Les utilisateurs actifs quotidiens de Facebook étaient de 1,93 milliard, en hausse de 5 % ou 84 millions par rapport à l'année dernière. Les DAU représentaient environ 66 % des 2,91 milliards d'utilisateurs actifs mensuels en décembre. Les MAU ont augmenté de 115 millions ou 4 % par rapport à l'année dernière ».

Le PDG de Facebook, Mark Zuckerberg, a précédemment modifié sa vision du framework ATT d'Apple, affirmant initialement que cela nuirait à Facebook, mais a déclaré plus tard que cela pourrait profiter à l'entreprise à long terme :

« Il est possible que nous soyons même dans une position plus forte si les changements d'Apple encouragent davantage d'entreprises à faire plus de commerce sur nos plateformes en leur rendant plus difficile l'utilisation de leurs données afin de trouver les clients qui voudraient utiliser leurs produits en dehors de nos plateformes », a déclaré Zuckerberg lors d'une réunion au Clubhouse le 18 mars 2021. Il faut noter que cette déclaration a été faite avant le lancement d'iOS 14.5 et donc avant l'implémentation d'ATT.

Selon les médias, Facebook s'est préparé à l'App Tracking Transparency avec l'introduction des Facebook Shops et Instagram Shops, où les marques peuvent répertorier et vendre des articles directement sur les réseaux sociaux. Zuckerberg a déclaré en mars 2021 que plus de 250 millions de personnes utilisent activement la fonctionnalité.

Source : appel aux investisseurs

Voir aussi :

Meta menace de retirer Facebook et Instagram du marché européen si le groupe n'est plus autorisé à échanger les données des utilisateurs européens avec les États-Unis
Bruno Le Maire et son homologue allemand, Robert Habeck, affirment que l'Europe se porterait mieux sans Facebook, à la suite de la menace de Meta de retirer Facebook et Instagram du marché européen

[IsabelleDvn]

Quasiment 1 an après la mise à jour d'Apple, voici l'impact important qu'a subi Facebook sur ses publicités: https://digital.hec.ca/blog/mise-a-j...ites-facebook/

[Stéphane le calme]

Votre application iOS peut toujours vous suivre secrètement, malgré ce que dit Apple.
L'emblématique App Tracking Transparency d'Apple n'est peut-être pas aussi robuste que certaines personnes le pensent

L'année dernière, Apple a adopté App Tracking Transparency, une politique obligatoire qui interdit aux créateurs d'applications de suivre l'activité des utilisateurs sur d'autres applications sans avoir préalablement reçu l'autorisation explicite de ces utilisateurs. Les défenseurs de la vie privée ont salué l'initiative et Facebook a averti qu'elle serait fatale aux entreprises qui s'appuient sur la publicité ciblée. Cependant, une étude publiée la semaine dernière suggère qu'ATT, comme on l'abrège généralement, ne freine pas toujours la collecte subreptice de données personnelles ou le fingerprinting des utilisateurs.

Lors de la conférence WWDC 2020, Apple a annoncé qu’avec la sortie d’iOS 14, l’IDFA serait désormais une fonctionnalité exclusivement opt-in et que les utilisateurs devraient donner leur consentement explicite à la fois à l’annonceur et aux apps de destination pour les autoriser à « les suivre sur Internet ». IDFA est l’acronyme anglais de « IDentifier For Advertisers » (en français, identifiant de publicité), il s’agit d’une série de lettres et de chiffres unique à chaque appareil iOS, par exemple, EA7583CD-A667-48BC-B806-42ECB2B48606. L’IDFA est la norme adoptée par Apple permettant aux réseaux publicitaires mobiles de suivre des utilisateurs et de leur diffuser des publicités ciblées. Il en va de même pour les applications publicitaires, leurs partenaires publicitaires et leurs partenaires d’attribution.

Avec la mise à jour de son système d'exploitation, notamment iOS 14, Apple allait apporter aux utilisateurs des paramètres de confidentialité pour réduire le ciblage publicitaire : il était prévu que chaque application qui souhaite faire usage de ces identifiants demande aux utilisateurs d'opter pour le suivi lors du premier lancement de l'application.

Selon Facebook, l’une des solutions qui seraient les plus durement touchées par l’approche d’Apple est son outil publicitaire Audience Network. Ce dernier permet aux annonceurs d'étendre leurs campagnes Facebook et Instagram à l'ensemble d'Internet au travers de milliers d'applications de haute qualité. Ce réseau d'audience de l’entreprise aide les développeurs de logiciels pour les plateformes mobiles à fournir des publicités in-app ciblées aux utilisateurs en fonction des données de Facebook. Facebook prétend qu’il ne serait plus d’aucune utilité si iOS 14 voyait le jour ainsi.

« Les mises à jour prévues par Apple rendraient Audience Network tellement inefficace sur iOS 14 qu'il ne serait pas logique de le proposer sur iOS 14 », a déclaré Facebook. Le groupe a estimé que plus d'un milliard de personnes regardent au moins une publicité du réseau d'audience chaque mois, bien que beaucoup d'entre elles utilisent probablement des téléphones Android et ne seraient pas touchées par ce changement. Ainsi, la société craignait que les utilisateurs n'optent pas pour le suivi lorsqu'ils en ont le choix.

Face aux plaintes des enseignes technologiques, Apple a retardé la sortie de la fonctionnalité qui n'a été déployée que depuis iOS 14.5, publié en avril 2021. Cette version a donc bénéficié de l’App Tracking Transparency. En deux semaines, 96 % des utilisateurs d'iPhone aux États-Unis ont refusé le suivi des applications, selon la société d'analyse d'applications Flurry.

« Jusqu'à présent, les applications pouvaient s'appuyer sur l'identifiant de l'annonceur (IDFA) d'Apple pour suivre les utilisateurs à des fins de ciblage et de publicité. Avec le lancement d'iOS 14.5 cette semaine, les applications mobiles doivent désormais demander aux utilisateurs qui ont effectué la mise à niveau vers iOS 14.5 l'autorisation de collecter des données de suivi. Le taux d'acceptation devrait être faible », a écrit Flurry dans son rapport. La société d’analyse s'attend à ce que ce changement crée des défis pour la publicité personnalisée, « ce qui aura un impact sur le secteur de la publicité mobile, qui représente 189 milliards de dollars dans le monde ».

« Flurry Analytics, propriété de Verizon Media, est utilisé dans plus d'un million d'applications mobiles, fournissant des informations agrégées sur 2 milliards d'appareils mobiles par mois. Pour ce rapport, Flurry mettra à jour chaque jour de la semaine à 10 heures, heure normale du Pacifique, le taux d'acceptation quotidien ainsi que la part des utilisateurs que les applications ne peuvent pas demander à suivre (statut "restreint"), à la fois aux États-Unis et dans le monde entier, afin de vous tenir informé de la version d'iOS la plus importante à ce jour pour l'industrie ».

Un rapport vient remettre en cause la robustesse du système

Une étude publiée la semaine dernière suggère qu'ATT, comme on l'abrége généralement, ne freine pas toujours la collecte subreptice de données personnelles ou le fingerprinting des utilisateurs.

Au cœur d'ATT se trouve l'exigence selon laquelle les utilisateurs doivent cliquer sur un bouton « Autoriser » qui apparaît lorsqu'une application est installée. Il peut lire cette description : « Autoriser l'application à suivre votre activité sur les applications et les sites Web d'autres entreprises ? » Sans ce consentement, l'application ne peut pas accéder au soi-disant IDFA (Identifier for Advertisers), un identifiant unique attribué par iOS ou iPadOS afin que les applications puissent suivre les utilisateurs sur d'autres applications installées dans l'optique de fournir de la publicité ciblée. Dans le même temps, Apple a également commencé à exiger des éditeurs d'applications qu'ils fournissent des privacy nutrition label, indiquant les types de données d'utilisateurs et d'appareils qu'ils collectent et la manière dont ces données sont utilisées.

Le document de recherche de la semaine dernière indiquait que si ATT fonctionnait à bien des égards comme prévu, les lacunes du framework offraient également la possibilité aux entreprises, en particulier aux grandes comme Google et Facebook, de contourner les protections et de stocker encore plus de données. Le document a également averti que malgré la promesse d'Apple pour plus de transparence, ATT pourrait donner à de nombreux utilisateurs un faux sentiment de sécurité.

« Dans l'ensemble, nos observations suggèrent que, bien que les changements d'Apple rendent plus difficile le suivi des utilisateurs individuels, ils motivent un contre-mouvement et renforcent le pouvoir de marché existant des sociétés de contrôle d'accès ayant accès à de grandes quantités de données de première partie », ont écrit les chercheurs. « Rendre les propriétés de confidentialité des applications transparentes grâce à une analyse à grande échelle reste une cible difficile pour les chercheurs indépendants et un obstacle majeur à des protections de la vie privée significatives, responsables et vérifiables ».

Les chercheurs ont également identifié neuf applications iOS qui utilisaient du code côté serveur pour générer un identifiant d'utilisateur mutuel qu'une filiale de la société technologique chinoise Alibaba peut utiliser pour le suivi inter-applications. « Le partage d'informations sur l'appareil à des fins de fingerprinting serait en violation des politiques d'Apple, qui ne permettent pas aux développeurs de "dériver des données d'un appareil dans le but de l'identifier de manière unique" », ont écrit les chercheurs.

Les chercheurs ont également déclaré qu'Apple n'est pas tenu de suivre la politique dans de nombreux cas, ce qui permet à Apple d'ajouter davantage au stock de données qu'il collecte. Ils ont noté qu'Apple exempte également le suivi à des fins « d'obtention d'informations sur la solvabilité d'un consommateur dans le but spécifique de déterminer le crédit ».

Sur la base d'une comparaison de 1 685 applications publiées avant et après l'entrée en vigueur d'ATT, le nombre de bibliothèques de suivi utilisées est resté à peu près le même. Les bibliothèques les plus utilisées, notamment SKAdNetwork d'Apple, Google Firebase Analytics et Google Crashlytics, n'ont pas changé. Près d'un quart des applications étudiées ont affirmé qu'elles ne collectaient aucune donnée utilisateur, mais la majorité d'entre elles (80 %) contenaient au moins une bibliothèque de traceurs.

En moyenne, la recherche a révélé que les applications qui affirmaient ne pas collecter de données sur les utilisateurs contenaient néanmoins 1,8 bibliothèques de suivi et contactaient 2,5 sociétés de suivi. Parmi les applications qui utilisaient SKAdNetwork, Google Firebase Analytics et Google Crashlytics, plus de la moitié n'ont pas divulgué l'accès aux données des utilisateurs. Le SDK de Facebook s'en sort légèrement mieux avec un taux d'échec d'environ 47 %.

Activation des thésauriseurs de données

Non seulement l'étude souligne les limites de l'ATT, mais elle note également que le pouvoir de ceux que les chercheurs ont appelé les « gardiens » a été renforcé. Elle souligne aussi l'opacité de la collecte de données en général. Les chercheurs ont écrit :

« Nos résultats suggèrent que les entreprises de suivi, en particulier les plus grandes ayant accès à de grandes quantités de première partie, suivent toujours les utilisateurs dans les coulisses. Ils peuvent le faire par le biais de diverses méthodes, notamment en utilisant des adresses IP pour lier des identifiants spécifiques à l'installation entre les applications et grâce à la fonctionnalité de connexion fournie par des applications individuelles (par exemple, connexion Google ou Facebook, ou adresse e-mail). En particulier en combinaison avec d'autres caractéristiques des utilisateurs et des appareils, dont nos données ont confirmé qu'elles sont encore largement collectées par les sociétés de suivi, il serait possible d'analyser le comportement des utilisateurs sur les applications et les sites Web (c'est-à-dire le fingerprinting et le suivi des cohortes). Un résultat direct de l'ATT pourrait donc être que les déséquilibres de pouvoir existants dans l'écosystème de suivi numérique se renforcent.

« Nous avons même trouvé un exemple concret d'Umeng, une filiale de la société de technologie chinoise Alibaba, utilisant son code côté serveur pour fournir aux applications un identifiant inter-applications dérivé du fingerprinting(...). L'utilisation du fingerprinting est en violation de la politique d'Apple et soulève des questions sur la capacité de l'entreprise à appliquer ses politiques. ATT pourrait finalement encourager un déplacement des technologies de suivi dans les coulisses, de sorte qu'elles soient hors de portée d'Apple. En d'autres termes, les nouvelles règles d'Apple pourraient conduire à encore moins de transparence autour du suivi que ce que nous avons actuellement, y compris pour les chercheurs universitaires ».

Malgré ses défauts, ATT reste utile. Le moyen le plus simple d'appliquer ATT consiste à accéder aux paramètres iOS> Confidentialité> Suivi et à désactiver « Autoriser les applications à demander le suivi ». Les personnes qui souhaitent une confidentialité iOS supplémentaire doivent désinstaller toutes les applications qui ne sont plus nécessaires ou envisager d'acheter une application telle que le pare-feu Guardian. En fin de compte, cependant, le suivi et le fingerprinting des appareils sont susceptibles de rester sous une forme ou une autre, même dans le jardin clos d'Apple.

Source : résultats de l'étude

Et vous ?

Trouvez-vous les conclusions des chercheurs crédibles ?
Êtes-vous surpris par le constat des chercheurs qui notent qu'ATT n'est pas aussi robuste qu'Apple veut bien le faire croire ?

Voir aussi :

96 % des utilisateurs d'iPhone ont refusé le suivi des applications depuis le lancement d'iOS 14.5, ce qui montre que la grande majorité des gens veulent préserver leur vie privée
Facebook et ses annonceurs paniquent alors que la majorité des utilisateurs d'iPhone choisissent de ne pas être suivis, seuls 25 % des utilisateurs acceptent le suivi

[OrthodoxWindows]

Trouvez-vous les conclusions des chercheurs crédibles ?

Oui.

Êtes-vous surpris par le constat des chercheurs qui notent qu'ATT n'est pas aussi robuste qu'Apple veut bien le faire croire ?

Non. IOS et Android sont des systèmes pourvu d’infrastructure spécialement développé pour le principe d'espionnage de suivi des utilisateurs dans le cadre de la publicité ciblé.
Pourquoi Windows, GNU/Linux et MacOS n'ont pas besoin de système de gestion d'autorisation ????
Parce que c'est l'antivirus est le pare-feu qui ce charge de ça. Dans Windows, une application comme Facebook serais détecté par l'antivirus/bloqué par le pare-feu.
La preuve de cela, c'est que les application de réseau sociaux type Facebook et de jeu type CandyCrush n'existent sous Windows que dans la plate-forme UWP..... qui fournit un système de gestion des autorisations, contrairement à Win32.

[Bill Fassinou]

Meta est poursuivi pour avoir contourné les règles de confidentialité d'Apple afin d'espionner les utilisateurs
la plainte met en cause le navigateur intégré des applications Facebook et Instagram

Meta a été poursuivie mercredi pour avoir prétendument mis au point une solution de contournement secrète permettant à l'entreprise de contourner les dispositifs de protection de la vie privée mis en place par Apple au début de l'année dernière pour protéger les utilisateurs d'iPhone contre le suivi de leur activité sur Internet. Dans une proposition de plainte en recours collectif déposée mercredi devant le tribunal fédéral de San Francisco, deux utilisateurs de Facebook accusent la société d'avoir contourné les règles de confidentialité d'Apple et enfreint les lois étatiques et fédérales limitant la collecte non autorisée de données personnelles.

Lors de la conférence WWDC 2020, Apple a annoncé qu'avec la sortie d’iOS 14, l’IDFA (IDentifier For Advertisers - identifiant de publicité) serait désormais une fonctionnalité opt-in, ce qui signifie que les utilisateurs doivent donner leur consentement explicite à la fois à l’annonceur et aux applications de destination pour les autoriser à les suivre sur Internet. L’IDFA est la norme adoptée par Apple permettant aux réseaux publicitaires mobiles de suivre des utilisateurs et de leur diffuser des publicités ciblées. Il en va de même pour les applications publicitaires, leurs partenaires publicitaires et leurs partenaires d’attribution.

Les paramètres de confidentialité de l'iOS 14 vont permettre de réduire le ciblage publicitaire des entreprises. Meta (alors Facebook inc.) l’avait compris et avait déclaré à l'époque que cette mise à jour que la marque à la pomme se préparait à lancer nuirait gravement à une partie de ses activités, notamment la publicité en ligne qui s'appuie sur le suivi des utilisateurs. Selon des estimations de l'entreprise de réseaux sociaux, les nouvelles règles de confidentialité introduites par la firme de Cupertino pourraient coûter jusqu'à 10 milliards de dollars à Meta rien que cette année.

Si les protestations de Meta n'ont pas empêché le lancement de l'iOS 14, l'entreprise semble avoir trouvé le moyen de contourner les limitations mises en place par Apple. En tout cas, c'est ce qu'affirme une plainte déposée mercredi à San Francisco par deux utilisateurs de Facebook. Selon des sources proches du dossier, une plainte similaire a été déposée devant le même tribunal la semaine dernière. Ils ont accusé le géant de la technologie "de contourner les règles de confidentialité mise en place par Apple en 2021 et de violer les lois étatiques et fédérales limitant la collecte non autorisée de données personnelles".

Les accusations se fondent sur un rapport publié en août dernier par le chercheur en cybersécurité Felix Krause. Krause, un ancien employé de Google, a soutenu que Meta exploite le "navigateur intégré" - une fonctionnalité qui permet aux utilisateurs de Facebook et Instagram de visiter un site Web tiers sans quitter la plateforme - pour "injecter" un code JavaScript qui permet de surveiller toutes les interactions des utilisateurs. Cette pratique est considérée dans la plupart des cas comme un type d'attaque malveillante. Elle permet à Meta de suivre les utilisateurs à travers le Web après qu'ils aient cliqué sur des liens sur Facebook et Instagram.

Pour parvenir à cette conclusion, Krause a conçu un outil capable de détecter si du code JavaScript est injecté dans la page qui s’ouvre dans le navigateur intégré aux applications Instagram, Facebook et Messenger lorsqu’un utilisateur clique sur un lien qui le redirige vers un lien externe. Après avoir ouvert l’application Telegram et cliqué sur un lien ouvrant une page tierce, aucune injection de code n’a été détectée. En répétant la même expérience avec Instagram, Messenger et Facebook, l’outil a détecté que plusieurs lignes de code JavaScript avaient été injectées après avoir ouvert la page dans le navigateur intégré à ces applications.

Il a observé ce comportement sur iOS comme sur Android. Toutefois, aucun code de ce type n’est ajouté au navigateur intégré de WhatsApp. Selon Krause, le fichier JavaScript externe que l’application Instagram injecte est connect.facebook.net/en_US/pcm.js, un code permettant de créer un pont pour communiquer avec l’application hôte. Krause a conclu que l’injection de scripts dans des sites Web tiers pourrait, même si aucune preuve ne confirme que Meta s’y adonne, permettre à l'entreprise de surveiller toutes les interactions des utilisateurs, comme les interactions avec chaque bouton et chaque lien.

Après la publication de cette découverte, Meta aurait réagi en déclarant que l’injection de ce code aidait à regrouper les événements, comme les achats en ligne, avant que ceux-ci soient utilisés pour la publicité ciblée et des mesures pour Facebook. Meta aurait ajouté : « pour les achats effectués via le navigateur intégré à l’application, nous demandons le consentement de l’utilisateur pour enregistrer les informations de paiement à des fins de remplissage automatique ». Mais Krause a déclaré qu'il n’y a aucune raison légitime au fait que Meta intègre un navigateur à ses applications et force les utilisateurs à l'utiliser pour visiter des liens externes.

« Cela permet à Meta d'intercepter, de surveiller et d'enregistrer les interactions et les communications de ses utilisateurs avec des tiers, fournissant des données à Meta qu'elle agrège, analyse et utilise pour augmenter ses revenus publicitaires », peut-on lire dans la plainte. L'action en justice soutient que la collecte d'informations sur les utilisateurs via les applications Facebook et Instagram permet à Meta de contourner la réglementation d'Apple en matière de protection de la vie privée, qui exige que toutes les applications tierces obtiennent le consentement des utilisateurs avant de suivre leur activité en ligne et hors ligne.

En réponse aux allégations des plaignants, Meta a admis que l'application Facebook suit l'activité du navigateur (intégré), mais a réfuté les allégations selon lesquelles les données des utilisateurs étaient collectées illégalement. En outre, le rapport de Krause a noté que la pratique qui consiste à injecter du code dans des pages d’autres sites Web soulèverait des risques à plusieurs niveaux :

• confidentialité et analyse : l’application hôte peut suivre littéralement tout ce qui se passe sur le site Web comme chaque pression, saisie, comportement de défilement, quel contenu est copié et collé, ainsi que les données affichées comme les achats en ligne ;
• vol des informations d’identification des utilisateurs, des adresses physiques, des clés API, etc. ;
• annonces et références : l’application hôte peut injecter des publicités sur le site Web, ou remplacer la clé API des annonces pour voler des revenus à l’application hôte, ou remplacer toutes les URL pour inclure un code de référence ;
• sécurité : les navigateurs ont passé des années à optimiser la sécurité de l’expérience utilisateur sur le Web, comme afficher l’état du chiffrement HTTPS, ou encore avertir l’utilisateur au sujet des sites Web non chiffrés, etc. ;
• l’injection de code JavaScript supplémentaire sur un site Web tiers peut entraîner des problèmes susceptibles de casser le site Web ;
• les extensions de navigateur et les bloqueurs de contenu de l’utilisateur ne sont pas disponibles ;
• les liens profonds ne fonctionnent pas bien dans la plupart des cas ;
• souvent, il n’est pas facile de partager un lien via d’autres plateformes (par exemple, par e-mail, AirDrop, etc.).

Si vous souhaitez échapper au suivi de Meta à travers le navigateur de ses applications, vous pouvez dans un premier temps ouvrir la page Web dans un navigateur extérieur à l’application. Généralement, un bouton permet de le faire. Si ce bouton n’est pas disponible, vous allez devoir copier et coller l’URL pour ouvrir le lien dans le navigateur de votre choix. Une autre solution assez simple qui permet d’échapper au regard e Meta est d’utiliser la version Web de ces applications.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des allégations portées contre Meta ?

Voir aussi

Les développeurs examinent des techniques invasives de suivi des utilisateurs dans l'iOS 14 pour contourner la prochaine mise à jour de la confidentialité d'Apple

Meta, l'entreprise mère de Facebook et Instagram, injecterait du code JS dans les sites Web pour suivre les utilisateurs, selon une récente découverte faite par le chercheur Felix Krause

Facebook prévoit un déficit de 10 milliards de dollars de revenus à cause des fonctions de confidentialité sur iOS, qui rendent le pistage des mobinautes plus difficile depuis le lancement d'iOS 14.5

96 % des utilisateurs d'iPhone ont refusé le suivi des applications depuis le lancement d'iOS 14.5, ce qui montre que la grande majorité des gens veulent préserver leur vie privée

[Bill Fassinou]

Apple vous suit à la trace même lorsque ses propres paramètres de confidentialité l'interdisent
selon une nouvelle étude

Des chercheurs ont publié au début du mois un rapport accablant sur Apple selon lequel le fabricant de l'iPhone serait en mesure de traquer tout ce que les utilisateurs tapent lorsqu'ils explorent l'App Store. Les chercheurs allèguent qu'Apple recueille des informations extrêmement détaillées sur vous à l'aide de ses propres applications, même lorsque vous désactivez le suivi, ce qui semble en contradiction directe avec la description que l'entreprise donne du fonctionnement de la protection de la vie privée. Ce rapport intervient également au moment où Apple est accusé d'avoir nui à ses concurrents à travers ses nouvelles règles de confidentialité.

Apple aurait mis en place une collecte massive de données dans l'App Store

Apple explique au public : « si vous désactivez le paramètre "Analytics" de l'iPhone, il désactivera complètement le partage de Device Analytics ». Mais il s'avère que cela ne s'applique pas aux applications développées par Apple lui-même. Tommy Mysk et Talal Haj Bakry, deux chercheurs en sécurité de la société de logiciels Mysk, ont examiné les données collectées par un certain nombre d'applications Apple pour iPhone - App Store, Apple Music, Apple TV, Books et Stocks. Ils ont constaté que le contrôle de l'analyste et d'autres paramètres de confidentialité de l'iPhone n'avaient pas d'effet évident sur la collecte de données par Apple.

Selon les chercheurs, le suivi restait le même, que le paramètre "Analytics" soit activé ou désactivé. Ils ont découvert qu'iOS envoyait à Apple un journal détaillé de la façon dont les utilisateurs interagissent avec l'App Store, y compris l'endroit où ils cliquent lorsqu'ils interagissent avec la boutique, les applications qu'ils recherchent, les publicités qu'ils voient, la durée pendant laquelle ils regardent une application donnée et la façon dont ils l'ont trouvée. L'application envoie également des informations sur les utilisateurs et leur appareil, notamment des numéros d'identification, le type de téléphone qu'ils utilisent, la résolution de l'écran, etc.

D'autres informations recensées par les chercheurs concernent la langue du clavier et la manière dont l'utilisateur est connecté à Internet. En d'autres termes, le type d'informations couramment utilisé pour prendre l'empreinte numérique d'un appareil. « Le niveau de détail est choquant pour une société comme Apple. L'exclusion ou la désactivation des options de personnalisation n'a pas réduit la quantité d'analyses détaillées envoyées par l'application. J'ai désactivé toutes les options possibles, à savoir les publicités personnalisées, les recommandations personnalisées et le partage des données d'utilisation et des analyses », a déclaré Mysk.

Les chercheurs ont analysé d'autres applications d'Apple à titre de comparaison. Ils disent avoir constaté que les applications comme Santé et Portefeuille, ne transmettaient aucune donnée analytique, que le paramètre iPhone Analytics soit activé ou non, alors que les applications comme Apple Music, Apple TV, Livres, iTunes Store et Stocks le faisaient tous. Les chercheurs disent avoir constaté que la plupart des applications qui envoyaient des données analytiques partageaient des numéros d'identification cohérents, ce qui permettait à Apple de suivre l'activité des utilisateurs de l'iPhone dans l'ensemble de ses services.

Par exemple, selon l'analyse des chercheurs, l'application Stocks, qui est centrée sur les marchés économiques, envoie à Apple votre liste d'actions surveillées, les noms des actions que vous avez consultées ou recherchées et l'heure à laquelle vous l'avez fait, ainsi qu'un enregistrement de toutes les actualités que vous avez consultées dans l'application. Ces données seraient envoyées à une adresse Web intitulée "analytics", "https://stocks-analytics-events.apple.com/analyticseventsv2/async". Mysk note que cette transmission était distincte de la communication iCloud nécessaire pour synchroniser vos données entre les appareils.

Mais les chercheurs indiquent que contrairement aux autres applications, Stocks envoyait des numéros d'identification différents et des informations beaucoup moins détaillées sur les appareils. Ils ont vérifié leur travail sur deux appareils différents. Ils ont d'abord utilisé un iPhone jailbreaké sous iOS 14.6, ce qui leur a permis de décrypter le trafic et d'examiner les données envoyées. Ils ont également examiné un iPhone normal fonctionnant sous iOS 16, le dernier système d'exploitation, ce qui a étayé leurs conclusions. Il y a peu de raisons de penser que le téléphone qui a subi un jailbreak enverrait des données différentes.

Toutefois, sur iOS 16, les chercheurs ont vu les mêmes applications envoyer des paquets de données similaires aux mêmes adresses Web Apple. Les données ont été transmises aux mêmes moments et dans les mêmes circonstances, et le fait d'activer ou de désactiver les paramètres de confidentialité disponibles n'a rien changé. Les chercheurs n'ont pas pu examiner exactement les données envoyées, car le chiffrement du téléphone est resté intact, mais les similitudes suggèrent qu'il pourrait s'agir d'un comportement standard sur l'iPhone. Les informations collectées sont transmises à l'entreprise en temps réel dans un fichier JSON.

Les potentiels impacts de cette collecte de données sur les utilisateurs

Le fait d'avoir un œil sur votre comportement déplaît à certaines personnes, quelles que soient les informations en question. Mais ces données peuvent être sensibles. Dans l'App Store, par exemple, le fait que vous regardiez des applications liées à la santé mentale, à la toxicomanie, à l'orientation sexuelle et à la religion peut révéler des choses que vous ne souhaitez peut-être pas envoyer aux serveurs de l'entreprise. Selon les chercheurs, il est impossible de savoir ce qu'Apple fait de toutes ces données sans l'explication de la société. Et comme c'est souvent le cas, Apple est restée silencieuse jusqu'à présent.

Ils estiment qu'il est tout à fait possible qu'Apple n'utilise pas les informations si vous désactivez les paramètres, mais ce n'est pas ainsi que la société explique ce que font les paramètres dans sa politique de confidentialité. Selon Mysk, cette collecte de données du fabricant de l'iPhone ne correspond pas aux pratiques courantes du secteur. Lui et son partenaire de recherche affirment avoir effectué des tests similaires dans le passé en examinant les analyses de Google Chrome et de Microsoft Edge. Dans ces deux applications, Mysk affirme que les données ne sont pas envoyées lorsque les paramètres d'analyse sont désactivés.

Le respect de la vie privée est l'un des principaux arguments qu'Apple utilise pour distinguer ses produits de ceux de ses concurrents. Il a fait figurer sur des panneaux d'affichage de 12 mètres de l'iPhone le slogan "Privacy. That's iPhone" et a diffusé ces publicités dans le monde entier pendant des mois. Mais la société introduit peu à peu dans l'écosystème Apple, autrefois réputé sacro-saint, de nombreux problèmes de confidentialité liés à l'Internet. Apple travaille dur pour construire un empire publicitaire. Le réseau publicitaire d'Apple fonctionne à partir de vos données personnelles, tout comme ceux de Google et de Meta.

Selon certains, cette fonction de suivi pourrait être liée à l'introduction récente par Apple de nouveaux placements publicitaires dans le dépôt d'applications mobiles. Et d'autres suggérant que l'entreprise a commencé à suivre le comportement des utilisateurs de cette manière depuis la sortie de l'iOS 14.6 en mai 2021. En cours de route, Apple semble avoir élaboré une définition très commode de la notion de vie privée qui lui permet de critiquer les pratiques de ses rivaux en la matière tout en récoltant vos données à des fins similaires. Apple affirme que vous ne devez pas considérer ce qu'elle fait comme du "pistage".

Selon le site Web de la société : « la plateforme publicitaire d'Apple ne vous suit pas à la trace, ce qui signifie qu'elle ne relie pas les données d'utilisateur ou d'appareil collectées à partir de nos applications avec les données d'utilisateur ou d'appareil collectées auprès de tiers à des fins de publicité ciblée ou de mesure publicitaire, et qu'elle ne partage pas les données d'utilisateur ou d'appareil avec des courtiers en données ». En d'autres termes, Apple estime qu'il ne s'agit pas d'un suivi, à moins que vous ne mettiez en relation des informations collectées par des services appartenant à différentes entreprises.

Bien entendu, cette définition est différente de celle que tout le monde semble utiliser. Il n'est pas surprenant qu'Apple recueille des données analytiques, la pratique est exposée dans la politique de confidentialité, et presque chaque application et appareil que vous utilisez utilise probablement vos données à des fins analytiques. Cependant, Mysk a déclaré qu'il était stupéfait par le niveau de détail. « Je m'attendais à ce qu'une entreprise comme Apple, qui considère que la vie privée est un droit humain fondamental, recueille des données analytiques plus génériques », a déclaré Mysk.

Ce qui se passe sur votre iPhone reste sur votre iPhone, sauf si vous comptez les montagnes d'informations que votre iPhone envoie à Apple. Si Apple affirme que les données collectées ne sont pas partagées avec autant de tiers, de nombreux experts ont des doutes à ce sujet. La nouvelle de cette collecte est surprenante, car Apple a essayé de créer des barrières afin qu'il soit plus difficile pour les tiers de garder une trace de ce que les utilisateurs d'iOS font réellement en ligne. Et comme vous le saviez déjà, cela a causé beaucoup de pertes aux entreprises, car cela affecte directement les plateformes publicitaires de Google et de Meta.

Le mois dernier, nous avons vu Apple proposer de nouvelles publicités sur son App Store. Auparavant, les développeurs ne faisaient la promotion des applications que dans le segment Recherche. Désormais, ils ont la possibilité de payer et de présenter leurs applications sur diverses pages. Après ce comportement, de nombreux utilisateurs se sont plaints à l'entreprise de l'affichage d'un contenu non seulement non pertinent, mais aussi non éthique et non conforme à leur goût. Apple semble avoir temporairement suspendu ces offres publicitaires, mais on ne sait pas ce qui va se passer ensuite.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du rapport des chercheurs ?
Que pensez-vous de la masse de données collectées par Apple ?
Que pensez-vous des déclarations d'Apple selon lesquelles cette collecte de données ne sert pas à pister les utilisateurs ?

Voir aussi

Apple a trouvé sa prochaine grande affaire : afficher des publicités sur votre iPhone, l'entreprise aurait limité la publicité tierce sur l'iOS pour développer sa propre activité publicitaire

Comment Apple a-t-elle réussi à se jouer de Facebook ? La mise à jour iOS 14.5 d'Apple aurait déclenché un effondrement imparable de la capacité de Facebook à collecter les données

L'activité publicitaire d'Apple en plein essor grâce à sa propre politique de lutte contre le pistage, l'entreprise est accusée de volte-face et de complot visant à nuire aux concurrents

La nouvelle taxe d'Apple sur les publicités de l'App Store est une attaque directe contre Meta, Apple pourrait prélever une commission de 30 % sur les messages "boostés"

Meta dénonce le dernier changement de politique d'Apple, accusant la société d'essayer de « développer sa propre entreprise tout en sous-cotant les autres »

[Bill Fassinou]

Apple est poursuivie pour avoir suivi l'activité des utilisateurs, même lorsque cette fonction est désactivée dans les paramètres
la plainte allègue qu'Apple viole l'intimité des utilisateurs

Apple fait face à une proposition de recours collectif fédéral alléguant qu'elle enregistre l'activité mobile des utilisateurs sans leur consentement et indépendamment des garanties de confidentialité. La plainte allègue que les options des appareils mobiles d'Apple permettant de désactiver le partage des données d'analyse des appareils et de désactiver le suivi n'empêchent pas Apple de continuer à collecter des données relatives à la navigation et à l'activité des utilisateurs à des fins de monétisation. La plainte ajoute que ce comportement du fabricant de l'iPhone est en violation de la loi californienne sur l'invasion de la vie privée.

Au cours des deux dernières années, Apple a mis l'accent sur la protection de la vie privée des utilisateurs. Le fabricant de l'iPhone s'est opposé à d'autres grandes entreprises technologiques, notamment Meta, propriétaire de Facebook, sur cette question. Les efforts d'Apple pour protéger les données des utilisateurs ont coûté des milliards de dollars de revenus à des plateformes comme Facebook. Le réseau social prévoit une perte d'environ 10 milliards de dollars en 2022. Or, il s'avère qu'Apple a collecté elle-même les données de ses utilisateurs, même si ses clients avaient explicitement modifié leurs paramètres pour empêcher la société de le faire.

Les développeurs d'applications et les chercheurs en sécurité Tommy Mysk et Talal Haj Bakry, de l'entreprise de logiciels Mysk, ont récemment découvert qu'iOS envoie à Apple "chaque clique que vous faites" au sein de certaines applications de l'entreprise. Selon les développeurs, les tentatives de désactiver cette collecte de données, notamment en sélectionnant l'option des paramètres "Désactiver complètement le partage de Device Analytics", n'ont pas empêché l'envoi des données. Par exemple, l'App Store envoie des données telles que l'endroit où vous cliquez lorsque vous interagissez avec la boutique, les applications que vous recherchez, etc.

La boutique d'Apple envoie en outre des données sur les publicités que vous voyez, la durée pendant laquelle vous regardez une application donnée et la façon dont vous l'avez trouvée. L'application envoie également des informations sur les utilisateurs et leur appareil, notamment des numéros d'identification, le type de téléphone qu'ils utilisent, la résolution de l'écran, la langue du clavier et la manière dont vous êtes connecté à Internet. En d'autres termes, les chercheurs ont indiqué que l'App Store collecte et envoie à Apple le type d'informations couramment utilisé pour prendre l'empreinte numérique d'un appareil. Ce qui est utile dans plusieurs cas.

« Le niveau de détail est choquant pour une société comme Apple. L'exclusion ou la désactivation des options de personnalisation n'a pas réduit la quantité d'analyses détaillées envoyées par l'application. J'ai désactivé toutes les options possibles, à savoir les publicités personnalisées, les recommandations personnalisées et le partage des données d'utilisation et des analyses », a déclaré Mysk. L'équipe ne s'est pas arrêtée là. Les chercheurs ont analysé d'autres applications d'Apple à titre de comparaison et ont découvert qu'Apple Music, Apple TV, Livres, iTunes Store et Stocks collectent et envoient également des données détaillées.

Maintenant, Apple est poursuivi en justice pour cette collecte jugée "inacceptable" par les groupes de défense et qualifiée de pratique anticoncurrentielle par ses rivaux. Un recours collectif a été déposé jeudi, affirmant que les actions d'Apple violent la loi californienne sur l'invasion de la vie privée. L'action en justice ne porte pas tant sur le fait qu'Apple collecte ces données. Elle se concentre sur les paramètres d'Apple, tels que "Allow Apps to Request to Track" (autoriser les applications à demander le suivi) et "Share Analytics" (partager les données analytiques), qui donnent aux utilisateurs l'impression qu'ils peuvent désactiver ce suivi.

Il ne devrait pas être trop surprenant qu'Apple, ou toute autre entreprise technologique, collecte des données sur les utilisateurs. Cependant, comme le soulignent Mysk et ses collaborateurs, Apple collecte ces données indépendamment des paramètres définis par l'utilisateur. La plainte allègue qu'Apple donne un faux sentiment de confidentialité à l'utilisateur. « Apple enregistre, suit, collecte et monétise les données analytiques - y compris l'historique de navigation et les informations sur l'activité - malgré des mesures de protection ou des "paramètres de confidentialité" que les consommateurs adoptent pour protéger leur vie privée », note la plainte.

« Même lorsque les consommateurs suivent les instructions d'Apple et désactivent l'option "Allow Apps to Request to Track" et/ou "Share [Device] Analytics" dans leurs paramètres de confidentialité, Apple continue néanmoins d'enregistrer l'utilisation des applications, les communications de navigation dans les applications et les données personnelles des consommateurs dans ses applications propriétaires d'Apple, notamment l'App Store, Apple Music, Apple TV, Books et Stocks », ajoute le document de la plainte. Toutefois, certains analystes indiquent que les chances pour que le plaignant, Elliot Libman, gagne le procès étaient faibles.

L'action en justice accuse Apple de violer non seulement la vie privée des utilisateurs de l'iPhone, mais également leur intimité. « Les pratiques d'Apple portent atteinte à la vie privée des consommateurs ; elles les trompent intentionnellement ; elles donnent à Apple et à ses employés le pouvoir de connaître des détails intimes sur la vie, les intérêts et l'utilisation des applications des personnes ; et elles font d'Apple une cible potentielle pour le "guichet unique" de tout acteur gouvernemental, privé ou criminel qui souhaite porter atteinte à la vie privée, à la sécurité ou à la liberté des personnes », indique le document de la plainte.

« Grâce à son activité omniprésente et illégale de suivi et de collecte de données, Apple connaît même les aspects les plus intimes et potentiellement embarrassants de l'utilisation des applications par les utilisateurs, que ces derniers acceptent ou non l'offre illusoire d'Apple de préserver la confidentialité de ces activités », ajoute le plaignant. L'action en justice vise à obtenir "la restitution et toutes les autres formes de réparation monétaire équitable", ainsi que des mesures d'injonction que le tribunal pourrait juger appropriées. Un procès avec jury est demandé par le plaignant. Mais l'on ignore encore si l'affaire sera entendue et quand elle le sera.

"Libman v. Apple, Inc" est le cas numéro 5:2022cv07069 dans le tribunal de district des États-Unis pour le district nord de la Californie. Le cabinet Fisher & Fisher du nord-est de la Pennsylvanie a intenté le procès.

Source : Document de la plainte

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Apple vous suit à la trace même lorsque ses propres paramètres de confidentialité l'interdisent, selon une nouvelle étude

Facebook prévoit un déficit de 10 milliards de dollars de revenus à cause des fonctions de confidentialité sur iOS, qui rendent le pistage des mobinautes plus difficile depuis le lancement d'iOS 14.5

Comment Apple a réussi à se jouer de Facebook ? La mise à jour iOS 14.5 d'Apple aurait déclenché un effondrement imparable de la capacité de Facebook à collecter les données

Meta est poursuivi pour avoir contourné les règles de confidentialité d'Apple afin d'espionner les utilisateurs, la plainte met en cause le navigateur intégré des applications Facebook et Instagram

[TotoParis]

Un seul mot d'ordre : boycott de App Store, Apple Music, Apple TV, Books et Stocks !

[calvaire]

A chaque Keynote, dieu Tim Cook nous promettaient que les produits Apple ne nous espionnaient pas, contrairement aux concurents google/microssoft.
C'est ce qui justement justifie le tarif plus élevé du monde Apple.
Tim ne m'aurait jamais menti, non jamais

[Nancy Rey]

Apple affirme que les données d'utilisation de votre iPhone sont anonymes, mais de nouveaux tests montrent que ce n'est pas vrai,
le DSID peut relier l'activité de l'appareil à votre compte

Les chercheurs de la société de logiciels Mysk remettent en question l'importance accordée par Apple à la confidentialité. Les données d'analyse de votre iPhone comprennent un numéro d'identification lié à votre nom, votre adresse électronique et votre numéro de téléphone, affirment les chercheurs qui ont découvert d'autres failles dans les promesses d'Apple. En effet, un nouveau test de la manière dont Apple recueille les données d'utilisation des iPhone a révélé que la société collecte des informations permettant d'identifier les personnes, alors qu'elle avait explicitement promis de ne pas le faire.

La politique de confidentialité régissant l'analyse des appareils d'Apple indique « qu'aucune des informations collectées ne permet de vous identifier personnellement ». Mais une analyse des données envoyées à Apple montre qu'elles comprennent un numéro d'identification permanent et immuable appelé Directory Services Identifier, ou DSID, selon les chercheurs de la société de logiciels Mysk. Apple collecte ce même numéro d'identification en même temps que les informations relatives à votre identifiant Apple, ce qui signifie que le DSID est directement lié à votre nom complet, votre numéro de téléphone, votre date de naissance, votre adresse électronique et plus encore, selon les tests de Mysk.

Selon la politique d'analyse d'Apple, « les données personnelles ne sont pas enregistrées du tout, sont soumises à des techniques de préservation de la vie privée telles que la confidentialité différentielle, ou sont supprimées de tout rapport avant d'être envoyées à Apple ». Mais les tests de Mysk montrent que le DSID, qui est directement lié à votre nom, est envoyé à Apple dans le même paquet que toutes les autres informations analytiques. « Connaître le DSID, c'est comme connaître son nom. C'est un lien direct avec votre identité. Toutes ces analyses détaillées seront directement liées à vous. Et c'est un problème, car il n'y a aucun moyen de les désactiver », a déclaré Tommy Mysk, développeur d'applications et chercheur en sécurité, qui a effectué le test avec son partenaire Talal Haj Bakry.

Les résultats aggravent les découvertes récentes sur les problèmes et les promesses d'Apple en matière de confidentialité. Au début du mois, Mysk a découvert qu'Apple recueille des informations analytiques même lorsque vous désactivez un paramètre de l'iPhone appelé « Partager les analyses de l'iPhone », une action qu'Apple promet de « désactiver complètement le partage des analyses de l'appareil ». Quelques jours après qu’il a été fait état des tests de Mysk, une action collective a été intentée contre Apple pour avoir prétendument trompé ses clients sur cette question.

Apple n'a rien dit publiquement sur les contradictions apparentes dans ses promesses de confidentialité ni sur le récent procès. Mais, en théorie, Apple pourrait faire valoir qu'un numéro d'identification n'est pas une information personnelle. Mais le GDPR, la gigantesque loi européenne sur la protection de la vie privée qui a établi la norme pour la réglementation des données dans le monde entier, définit les données personnelles comme toute information qui identifie "directement ou indirectement" une personne, y compris les numéros d'identification. « Je pense que les gens devraient être bouleversés par cette situation. Ce n'est pas Google. Les gens optent pour l'iPhone parce qu'ils pensent que ce genre de choses n'arrivera pas. Apple n'a pas le droit de garder un œil sur vous », a déclaré Mysk.

Dans certains cas, ces données analytiques comprennent apparemment des détails sur chacun de vos mouvements. Les tests de Mysk montrent que les données d'analyse de l'App Store, par exemple, comprennent tous vos faits et gestes en temps réel, y compris ce sur quoi vous avez appuyé, les applications que vous avez recherchées, les publicités que vous avez vues, la durée pendant laquelle vous avez regardé une application donnée et comment vous l'avez trouvée.

Au cours de ces tests, les chercheurs ont vérifié leur travail sur deux appareils différents. Tout d'abord, ils ont utilisé un iPhone jailbreaké sous iOS 14.6, ce qui leur a permis de déchiffrer le trafic et d'examiner exactement les données envoyées. Apple a introduit dans iOS 14.5 un paramètre de confidentialité qui empêche d'autres entreprises de récolter des données, appelé "App Tracking Transparency", qui invite les utilisateurs à décider s'ils veulent ou non communiquer leurs données à des applications individuelles en leur demandant "Ask app not to track ?".

Les chercheurs ont également examiné un iPhone ordinaire fonctionnant sous iOS 16, le dernier système d'exploitation, ce qui a étayé leurs conclusions. Les chercheurs n'ont pas pu examiner exactement les données envoyées, car le chiffrement du téléphone est resté intact, mais les similitudes avec les tests effectués sur le téléphone jailbreaké suggèrent que les modèles qu'ils ont trouvés là-bas peuvent être la norme sur l'iPhone. Il y a peu de raisons de penser que le téléphone jailbreaké enverrait des données différentes, ont-ils dit, mais sous iOS 16, ils ont vu les mêmes applications envoyer des paquets de données similaires aux mêmes adresses web Apple. Les données ont été transmises aux mêmes moments et dans les mêmes circonstances, et le fait d'activer et de désactiver les paramètres de confidentialité disponibles n'a rien changé non plus.

Il est possible qu'Apple traite les données DSID pour mettre à l'abri les détails d'identification personnelle lorsque la société reçoit les informations, séparant ainsi vos informations personnelles des autres données. Mais il n'y a aucun moyen de le savoir, car jusqu'à présent, Apple ne semble pas vouloir expliquer ses pratiques. Il se peut que l'entreprise n'utilise pas les données si vous désactivez les paramètres de confidentialité correspondants, bien qu'elle les reçoive quand même, mais ce n'est pas ainsi que l'entreprise explique ce que font ces paramètres dans sa politique de confidentialité.

Ces conclusions sont particulièrement accablantes, compte tenu des années qu'Apple a passées à se présenter comme une entreprise respectueuse de la vie privée. Les récentes campagnes de marketing d'Apple suggèrent que les pratiques de confidentialité de la société sont censées être bien meilleures que celles des autres entreprises technologiques. Elle a fait figurer sur des panneaux d'affichage de 12 mètres de long représentant l'iPhone le simple slogan "Privacy. That's iPhone" et a diffusé ces publicités dans le monde entier pendant des mois.

Mais Apple s'efforce de construire son propre empire publicitaire, fondé sur les données personnelles de ses milliards d'utilisateurs. Même les paramètres de confidentialité de la société peuvent être considérés comme faisant partie d'un jeu de longue haleine visant à mettre à genoux ses concurrents publicitaires, bien que la société nie farouchement cette accusation. Pour sa part, Tommy Mysk a été personnellement choqué par ces découvertes. Dans le passé, « j'autorisais toujours l'application à partager des données analytiques avec Apple, parce que je voulais les aider. Mais j'ai toujours supposé que les données allaient être envoyées de manière anonyme », a déclaré Mysk.

Source : Twitter

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du rapport des chercheurs ?
Que pensez-vous de la masse de données collectées par Apple ?
Que pensez-vous des déclarations d'Apple selon lesquelles cette collecte de données ne sert pas à pister les utilisateurs ?

Voir aussi :

Vie privée : « ce qui se passe dans votre iPhone reste dans votre iPhone », selon Apple, qui fustige ses concurrents

Comment Apple a réussi à se jouer de Facebook ? La mise à jour iOS 14.5 d'Apple aurait déclenché un effondrement imparable de la capacité de Facebook à collecter les données

Apple a trouvé sa prochaine grande affaire : afficher des publicités sur votre iPhone, l'entreprise aurait limité la publicité tierce sur l'iOS pour développer sa propre activité publicitaire

Les développeurs examinent des techniques invasives de suivi des utilisateurs dans l'iOS 14 pour contourner la prochaine mise à jour de la confidentialité d'Apple

[kain_tn]

Que pensez-vous des déclarations d'Apple selon lesquelles cette collecte de données ne sert pas à pister les utilisateurs ?

Apple est une GAFAM, et comme toutes les GAFAM elle se gave sur les données des utilisateurs. Elles les revend, les partage avec tout un tas d'entités (qui a dit Snowden?).

Elle ne va certainement pas dire la vérité à ses clients, surtout après les pubs sur des affiches géantes qui disaient les données d'un iPhone restaient dans un iPhone!

[Arya Nawel]

Quelle sera la prochaine étape ? Google suit l'historique de la localisation même lorsque le paramètre de localisation est désactivé? Ce n'est pas spossibke n'est ce pas? Je commence à penser que ces grandes technologies ne sont pas tout à fait honnêtes avec nous.

[Raieton2093]

C'est un peu un dilemme: pour que tous ces outils technologiques nous facilite le plus possible la vie, ils ont besoin d'être permissifs. J'ai une fois rooté un de mes smartphones pour surtout y installer warden, une app qui permet de recenser et de gérer toute la telemetrie et tous les mouchards sur Android. Ce téléphone était devenu "bête".
L'accent doit être mis sur le consentement de l'utilisateur et sur les fins d'utilisations de ces données.

[Stéphane le calme]

La CNIL pourrait infliger à Apple une amende de 6 millions d'euros en France,
pour manquement aux exigences de confidentialité de l'UE concernant la fonctionnalité App Tracking Transparency d'iOS 14

Le rapporteur de la Commission nationale de l’informatique et des libertés (CNIL), Francois Pellegrini, estime qu’Apple devrait écoper d’une amende de 6 millions d’euros pour un manquement aux règles de protection des données personnelles. Selon lui, iOS 14 ne répond pas aux exigences de confidentialité de l'UE. En fait, si les utilisateurs pouvaient décider si oui ou non des applications tierces pouvaient les suivre, les paramètres par défaut permettaient à Apple de mener ses campagnes publicitaires sans demander le consentement préalable à ces mêmes utilisateurs. Il a néanmoins reconnu que la version ultérieure du système d’exploitation de l’iPhone, iOS 15, avait rectifié le tir.

Apple a suivi les utilisateurs sans leur consentement et mérite une amende de 6 millions d'euros, selon une formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL). La Commission a ouvert une enquête sur Apple après qu'une plainte déposée par France Digitale, un groupe de lobbying soutenant les start-up, a accusé l'entreprise d'avoir violé les lois européennes sur la protection de la vie privée l'année dernière.

Dans la plainte déposée en 2021, France Digitale estimait que les utilisateurs ne disposaient pas assez d'informations sur le sujet : « Apple s'octroie le droit de choisir qui est un "partenaire" et qui est un "tiers", et ce, de manière arbitraire. Cette qualité peut même évoluer dans le temps, sans que l'utilisateur soit informé d'un tel changement », sous-entendant que l'entreprise californienne jouerait double jeu.

« Pendant que les petites start-up françaises respectent le droit, Apple semble voler au-dessus. Nous ne laisserons pas une insupportable situation de deux-poids deux-mesures s’installer sur le marché de la publicité en ligne ! » avait alors dénoncé Nicolas Brien, directeur général de France Digitale à l’époque.

La sortie d'iOS 14 a donné aux consommateurs un plus grand contrôle sur leurs données personnelles. Les utilisateurs d'iPhone et d'iPad pourraient empêcher les entreprises de suivre leur activité en ligne dans les applications en modifiant leurs paramètres de confidentialité. Cette décision a nui à Facebook ainsi qu'à d'autres petites entreprises et développeurs d'applications, car elle les a empêchés d'utiliser les données pour proposer aux utilisateurs des publicités ciblées.

France Digitale, cependant, a affirmé que les politiques de confidentialité d'Apple ne s'étendaient pas à ses propres applications et services. En d'autres termes, Apple suit ses propres utilisateurs sans leur consentement explicite et ne leur donne pas le choix de se retirer. Désormais, François Pellegrini, rapporteur travaillant pour le compte de la CNIL, s'est rangé du côté du groupe de pression. Il a recommandé à Apple d'être condamné à une amende de 6 millions d'euros pour avoir bafoué la directive ePrivacy de l'Union européenne.

La directive, entrée en vigueur en 2011, stipule que les entreprises ne peuvent pas conserver les données de localisation ou les cookies d'un utilisateur sans autorisation explicite. Mais la version iOS 14.6 d'Apple a enfreint ces règles, bien qu'elles aient ensuite été modifiées dans iOS 15, a déclaré Pelligrini lors d'une audience lundi, selon Reuters.

De son côté, le responsable de la confidentialité d'Apple, Gary Davis, n'était pas d'accord et a déclaré que toute sanction ordonnée par la CNIL devrait être réduite et rendue privée. « L'absence de gravité de l'infraction (...) signifie que le montant de l'amende doit être diminué », a-t-il déclaré.

Les autorités de la CNIL n'ont pas encore pris de décision à ce sujet.

Une amende de 6 millions d'euros de la CNIL est dérisoire par rapport à certaines des autres sanctions auxquelles Apple a été confrontée par les autorités françaises. Apple a été frappé par une amende de 48,5 millions d'euros pour violations des lois antitrust et 25 millions d'euros pour obsolescence programmée de l'iPhone.

En octobre, une amende de 1,1 milliard d'euros, la plus importante du genre jamais infligée par l'Autorité de la concurrence à l'encontre d'Apple, a été réduite à seulement 372 millions d'euros. L'amende a été réduite après que les tribunaux ont abandonné les accusations selon lesquelles Apple avait conspiré avec les distributeurs Tech Data et Ingram Micro pour fixer les prix de certains appareils Apple.

Concernant l'affaire dans laquelle Apple s'est vue infliger 1,1 milliard d'euros d'amende par l'Autorité de la concurrence

Saisie en 2012 par eBizcuss, distributeur de produits Apple spécialisé haut de gamme (dit APR pour Apple Premium Reseller), l’Autorité de la concurrence a sanctionné Apple à hauteur de 1,1 milliard d’euros, ainsi que les grossistes Tech Data et Ingram Micro à hauteur de 76,1 millions d’euros et 62,9 millions respectivement. Cette décision de sanction fait suite à des opérations de visite et saisie réalisées aux sièges d’Apple et de ses grossistes et dont le contentieux a pris fin en décembre 2017.

Il a été reproché à Apple d’avoir mis en œuvre, en France, au sein de son réseau de distribution de produits électroniques (hors iPhone), trois pratiques anticoncurrentielles.

L’Autorité a constaté que, de 2005 à mars 2013, Apple avait procédé à des répartitions de produits et de clientèles entre ses deux grossistes, Tech Data et Ingram Micro. Alors que ces deux grossistes étaient des entreprises indépendantes.

Apple procédait à une allocation fine de la distribution de ses produits, en précisant aux deux grossistes les quantités exactes des différents produits devant être livrées à chaque revendeur. Les revendeurs APR ont ainsi pu être freinés dans leur activité commerciale, étant totalement dépendants des stocks décidés par Apple, tant au niveau des grossistes qu’à leur niveau.

L’Autorité a également sanctionné Apple pour avoir fortement incité les revendeurs APR à pratiquer les mêmes prix que ceux pratiqués dans les Apple Stores. Outre la communication des prix, le contrôle des promotions et la surveillance des prix pratiqués, les éléments au dossier montrent qu’Apple a élaboré un écheveau de clauses contractuelles et mis en œuvre un ensemble de comportements qui n’ont laissé aucune marge de manœuvre aux APR.

En premier lieu, Apple diffusait les prix de ses Apple Retail Stores (présentés comme des prix « conseillés »), sur de nombreux supports, et notamment, sur son site Internet, accessibles aux consommateurs finals.

En deuxième lieu, plusieurs clauses contractuelles très contraignantes relatives à l’usage de la marque dans les supports de communication et marketing encadraient de manière très stricte les conditions dans lesquelles les APR pouvaient organiser une opération promotionnelle. Ces stipulations, qui obligeaient en particulier les APR à recourir à des supports et des matériels imposés par Apple lorsqu’ils souhaitaient mettre en œuvre des promotions, étaient de nature à brider toute initiative en la matière, et ce d’autant plus que leur non-respect constituait un motif de rupture immédiate et sans préavis du contrat d’APR. En pratique, les APR ne pratiquaient que peu de promotions, et toujours sous le contrôle d’Apple.

En troisième lieu, un système de surveillance des prix faisait également peser un risque de représailles -sous la forme notamment de défaut de livraison - en cas de promotions non autorisées par Apple.

Ainsi, l’APR Youcast a indiqué « Si nous appliquions des remises trop systématiques et si le commercial de notre secteur le savait, nos concurrents pouvaient être privilégiés dans leurs livraisons ».

Ou encore, eBizcuss : « Nous constatons qu’Apple réalise une police des prix au consommateur. En cas de pratique de prix inférieurs à celui des prix publics Apple, nous sommes contactés par les Apple Sales Local Représentatives pour nous demander de remonter les prix ».

Enfin, l’instruction a mis en évidence qu’Apple - qui disposait d’une connaissance approfondie de la situation des APR et maîtrisait leur approvisionnement ainsi que l’octroi des remises auxquelles ils pouvaient prétendre - était en mesure de contrôler leur profitabilité. Ce manque d’espace économique et cette situation d’incertitude ont également fortement contribué à dissuader les APR de dévier des prix « conseillés » par Apple.

Source : rapporteur de la CNIL

Et vous ?

Que pensez-vous de la proposition du rapporteur de la CNIL ?

Voir aussi :

iOS 14, deux poids, deux mesures ? France Digitale attaque Apple devant la CNIL, l'accusant d'afficher de la pub ciblée au sein de ses propres apps sans le consentement explicite des utilisateurs
L'enquête préliminaire visant Apple pour obsolescence programmée en France pourrait coûter à la firme jusqu'à 5 % de son chiffre d'affaires annuel

[ManPaq]

Lorsqu'il est constaté au cours d'un contrôle ou à la suite d'une plainte, qu'un organisme ne respecte par le RGPD, le président de la CNIL désigne un Commissaire parmi les membres de la Commission : c'est le "rapporteur".(cnil).

D'enseignant à l'enseirb matmeca bordeaux d'informatique, M. Pelligrini assume dorénavant ses responsabilités au sein de la CNIL au plus près des réalités du terrain. Chapeau.

[Bruno]

Les iPhones exposeraient votre MAC, l'adresse de contrôle d'accès au support, malgré les promesses d'Apple,
de protéger la vie privée en masquant l’adresse Wi-Fi des iPhone et des iPad

Apple a introduit une fonctionnalité de protection de la vie privée il y a trois ans qui masquait l’adresse Wi-Fi des iPhone et des iPad lorsqu’ils rejoignaient un réseau. Cependant, cette fonctionnalité n’a jamais fonctionné comme annoncé. Les appareils Apple ont continué à afficher la véritable adresse MAC, qui a été diffusée à tous les autres appareils connectés au réseau. Une adresse MAC peut être utilisée pour suivre des personnes d’un réseau à l’autre, de la même manière qu’un numéro de plaque d’immatriculation peut être utilisé pour suivre un véhicule lorsqu’il se déplace dans une ville. Les communications chiffrées HTTPS sont devenues la norme, mais un MAC permanent permet déjà de suivre le trafic de nombreuses personnes.

Pour communiquer ou transférer des données d'un peripherique à un autre, nous avons besoin d'une adresse. Dans les réseaux informatiques, il existe plusieurs types d'adresses, chacune fonctionnant à une couche différente. Une adresse MAC, qui signifie Media Access Control Address (adresse de contrôle d'accès au support), est une adresse physique qui fonctionne à la couche liaison de données. Dans cet article, nous parlerons de l'adressage d'une DLL, qui est l'adresse MAC.

Les adresses MAC sont des numéros uniques de 48 bits d'un péripherique qui sont intégrés dans une carte de réseau (connue sous le nom de carte d'interface réseau) au cours de la fabrication. L'adresse MAC est également connue sous le nom d'adresse physique d'un périphérique réseau. Dans la norme IEEE 802, la couche de liaison de données est divisée en deux sous-couches :

• Sous-couche de contrôle de liaison logique (LLC) ;
• Sous-couche de contrôle d'accès au support (MAC)

Au cours de la décennie qui a suivi, les communications chiffrées HTTPS sont devenues la norme, de sorte qu'il n'est généralement pas possible pour des personnes se trouvant sur le même réseau de surveiller le trafic d'autres personnes. Toutefois, un MAC permanent permet déjà de suivre le trafic de nombreuses personnes.

En 2020, Apple a publié iOS 14 avec une fonctionnalité qui, par défaut, masquait les adresses MAC Wi-Fi lorsque les appareils se connectaient à un réseau. À la place, l'appareil affichait ce qu'Apple appelait une « adresse Wi-Fi privée », différente pour chaque SSID. Au fil du temps, Apple a amélioré cette fonctionnalité, par exemple en permettant aux utilisateurs d'attribuer une nouvelle adresse Wi-Fi privée pour un SSID donné.

À partir d'iOS 14, d'iPadOS 14 et de watchOS 7, votre appareil améliore la confidentialité en utilisant une adresse MAC différente pour chaque réseau Wi-Fi. Cette adresse MAC unique est l'adresse Wi-Fi privée de votre appareil, qu'il utilise uniquement pour ce réseau. Dans certains cas, votre appareil modifie son adresse Wi-Fi privée : Si vous effacez tous les contenus et réglages ou réinitialisez les réglages réseau sur l'appareil, celui-ci utilise une adresse privée différente la prochaine fois qu'il se connecte à ce réseau.

À partir d'iOS 15, d'iPadOS 15 et de watchOS 8, si votre appareil n'a pas rejoint le réseau depuis 6 semaines, il utilisera une adresse privée différente lors de sa prochaine connexion à ce réseau. Et si vous faites en sorte que votre appareil oublie le réseau, il oubliera également l'adresse privée qu'il utilisait avec ce réseau, sauf si moins de deux semaines se sont écoulées depuis la dernière fois qu'il a été fait en sorte qu'il oublie ce réseau.

Apple a publié la version 17.1 d'iOS. Parmi les différents correctifs, on trouve un correctif pour une vulnérabilité, répertoriée sous le nom de CVE-2023-42846, qui empêche la fonction de confidentialité de fonctionner. CVE-2023-42846 a été résolu en supprimant le code vulnérable. Ce problème est corrigé dans watchOS 10.1, iOS 16.7.2 et iPadOS 16.7.2, tvOS 17.1, iOS 17.1 et iPadOS 17.1. Un appareil peut être suivi passivement par son adresse MAC Wi-Fi.

Tommy Mysk, l'un des deux chercheurs en sécurité à qui Apple a attribué la découverte et le signalement de la vulnérabilité (l'autre étant Talal Haj Bakry), a déclaré qu'il avait testé toutes les versions récentes d'iOS et qu'il avait constaté que la faille remontait à la version 14, publiée en septembre 2020. « Dès le départ, cette fonction était inutile à cause de ce bogue, a-t-il déclaré. Nous ne pouvions pas empêcher les appareils d'envoyer ces demandes de découverte, même avec un VPN. Même en mode verrouillage. »

Lorsqu'un iPhone ou tout autre appareil rejoint un réseau, il déclenche un message multicast qui est envoyé à tous les autres appareils du réseau. Par nécessité, ce message doit inclure un MAC. Depuis iOS 14, cette valeur est, par défaut, différente pour chaque SSID.

Pour l'observateur occasionnel, cette fonctionnalité semble fonctionner comme annoncé. La « source » indiquée dans la demande était l'adresse Wi-Fi privée. Toutefois, en creusant un peu plus, il est apparu clairement que le MAC réel et permanent était toujours diffusé à tous les autres appareils connectés, mais dans un champ différent de la requête. Mysk a publié une courte vidéo montrant un Mac utilisant le renifleur de paquets Wireshark pour surveiller le trafic sur le réseau local auquel il est connecté. Lorsqu'un iPhone fonctionnant sous un système d'exploitation iOS antérieur à la version 17.1 se connecte, il partage son véritable MAC Wi-Fi sur le port 5353/UDP.

Lorsqu'un iPhone ou tout autre appareil rejoint un réseau, il déclenche un message multicast qui est envoyé à tous les autres appareils du réseau. Par nécessité, ce message doit inclure un MAC. Depuis iOS 14, cette valeur est, par défaut, différente pour chaque SSID. Pour l'observateur occasionnel, cette fonctionnalité semble fonctionner comme annoncé. La « source » indiquée dans la demande était l'adresse Wi-Fi privée. Toutefois, en creusant un peu plus, il est apparu clairement que le MAC réel et permanent était toujours diffusé à tous les autres appareils connectés, mais dans un champ différent de la requête.

Source : Tommy Mysk in a YouTube video

Et vous ?

à votre avis, pourquoi Apple a-t-il introduit cette fonctionnalité de confidentialité s’il savait qu’elle ne fonctionnait pas correctement ?
Comment les utilisateurs peuvent-ils protéger leur vie privée lorsqu’ils se connectent à un réseau Wi-Fi public ?
Comment les utilisateurs peuvent-ils savoir si leur adresse MAC est visible sur un réseau Wi-Fi ?

Voir aussi :

Apple affirme que les données d'utilisation de votre iPhone sont anonymes, mais de nouveaux tests montrent que ce n'est pas vrai, le DSID peut relier l'activité de l'appareil à votre compte

Apple supprime l'obligation de disposer d'un compte de développement à 99 dollars, pour les premières bêtas d'iOS 17 et de macOS 14

[Stéphane le calme]

Les applications iPhone récoltent des données lorsqu'elles vous envoient des notifications, selon des chercheurs.
Facebook, LinkedIn, TikTok, X/Twitter et d'autres contourneraient les règles de confidentialité d'Apple

Des chercheurs en sécurité informatique ont découvert que plusieurs applications iPhone, dont Facebook, LinkedIn, TikTok et X/Twitter, contournent les règles de confidentialité d’Apple pour récolter des données utilisateur à travers les notifications. Ces données ne sont pas nécessaires pour traiter les notifications, et semblent être liées à l’analyse, à la publicité et au suivi des utilisateurs à travers différents appareils et applications.

Lors de la conférence WWDC 2020, Apple a annoncé qu’avec la sortie d’iOS 14, l’IDFA (pour IDentifier For Advertisers, en français « identifiant de publicité ») serait désormais une fonctionnalité exclusivement opt-in et que les utilisateurs devraient donner leur consentement explicite à la fois à l’annonceur et aux applications pour les autoriser à « les suivre sur Internet ».

Concrètement, avec la mise à jour de son système d'exploitation, notamment iOS 14, Apple allait apporter aux utilisateurs des paramètres de confidentialité pour réduire le ciblage publicitaire : il était prévu que chaque application qui souhaite faire usage de ces identifiants demande aux utilisateurs d'opter pour le suivi lors du premier lancement de l'application.

Selon Facebook, l’une des solutions qui seraient les plus durement touchées par l’approche d’Apple est son outil publicitaire Audience Network. Ce dernier permet aux annonceurs d'étendre leurs campagnes Facebook et Instagram à l'ensemble d'Internet au travers de milliers d'applications de haute qualité. Ce réseau d'audience de l’entreprise aide les développeurs de logiciels pour les plateformes mobiles à fournir des publicités in-app ciblées aux utilisateurs en fonction des données de Facebook. Facebook prétend qu’il ne serait plus d’aucune utilité si l’iOS 14 voyait le jour ainsi.

Facebook prévoyait alors un déficit de 10 milliards de dollars de revenus à cause des fonctions de confidentialité sur iOS.

Mais les entreprises semblent déjà avoir trouvé une parade

Des applications pour iPhone, dont Facebook, LinkedIn, TikTok et X/Twitter, contournent les règles de confidentialité d'Apple pour collecter des données d'utilisateur par le biais de notifications, selon des tests effectués par des chercheurs en sécurité de Mysk Inc, une société de développement d'applications. Ces derniers ont effectué des tests sur plusieurs applications populaires et ont observé les données qu’elles envoyaient à des serveurs distants lorsqu’un utilisateur interagissait avec une notification.

Par exemple, les tests ont montré que lorsque vous interagissez avec une notification de Facebook, l'application collecte les adresses IP, le nombre de millisecondes écoulées depuis le redémarrage de votre téléphone, la quantité d'espace mémoire libre sur votre téléphone et plusieurs autres informations. La combinaison de ces données est suffisante pour identifier une personne avec un haut niveau de précision. Les autres applications testées ont recueilli des informations similaires. LinkedIn, par exemple, utilise des notifications pour savoir dans quel fuseau horaire vous vous trouvez, la luminosité de votre écran et l'opérateur de téléphonie mobile que vous utilisez. Mysk a déclaré que LinkedIn recueillait également toute une série d'autres informations qui semblent spécifiquement liées à une campagne publicitaire (un porte-parole de LinkedIn a qualifié cette affirmation d'inexacte). Il convient de noter que le fait qu'une application puisse recueillir ces informations ne signifie pas qu'elle les utilise.

Les chercheurs ont été surpris de constater que cette pratique était largement utilisée. « Qui aurait su qu’une action aussi innocente que de supprimer une notification déclencherait l’envoi de beaucoup d’informations uniques sur l’appareil à des serveurs distants ? C’est inquiétant quand on pense au fait que les développeurs peuvent faire cela à la demande », a déclaré Tommy Mysk, l’un des chercheurs.

Cette découverte met en lumière une faille dans les règles de confidentialité d’Apple, qui interdit aux applications de faire du “fingerprinting”, une technique qui consiste à suivre les utilisateurs et à leur envoyer des publicités ciblées en se basant sur plusieurs détails apparemment anodins sur leur appareil. Apple a mis en place de nombreux paramètres et protections pour donner aux utilisateurs le contrôle sur la collecte et l’utilisation de leurs données, mais il semble que certaines applications trouvent des moyens de les contourner.

La réaction des entreprises

« Nous n'utilisons pas les notifications comme un moyen de collecter des données sur les membres à des fins de publicité ou d'analyses connexes, de suivi entre appareils ou entre applications », a déclaré un porte-parole de LinkedIn. « Les données collectées sont uniquement utilisées pour confirmer qu'une notification a été envoyée avec succès et, de manière transitoire, pour mettre en file d'attente l'expérience de l'application au cas où le membre choisirait de lancer l'application en réponse à la notification, sans jamais être partagées à l'extérieur ». Le porte-parole a déclaré que les données ne sont jamais partagées à l'extérieur.

Meta, qui possède Facebook, a fait une déclaration similaire. « Les résultats ne sont pas exacts. Les gens se connectent à notre application sur leur appareil et donnent la permission d'activer les notifications », a déclaré Emil Vazquez, porte-parole de Meta. « Nous pouvons périodiquement utiliser ces informations, même lorsque l'application n'est pas en cours d'exécution, pour nous aider à fournir des notifications opportunes et fiables, en utilisant les API d'Apple. Cela est conforme à nos politiques ».

Ces informations ne sont pas particulièrement sensibles par rapport à des éléments tels que les données de localisation, mais elles sont précieuses pour la publicité et à d'autres fins. Ce que beaucoup de gens ignorent, c'est que la publicité ciblée et les autres atteintes à la vie privée numérique ont pour but de déterminer votre identité. Les entreprises savent ce que vous faites sur leurs applications, mais elles ne savent pas toujours qui vous êtes, et les données sont beaucoup moins utiles si vous ne savez pas à qui elles appartiennent. Si les entreprises ne peuvent pas vous identifier, elles ne peuvent pas vous cibler avec des publicités.

Apple fournit un numéro d'identification publicitaire spécialement conçu pour faciliter la collecte de données et les publicités ciblées, mais des paramètres tels que la commande "Ask App Not To Track" de l'iPhone bloquent ce numéro d'identification publicitaire. En théorie, cela est censé empêcher les entreprises de rassembler des informations sur vous et votre comportement provenant de différentes applications et d'autres parties de l'internet. Mais le fingerprinting est un moyen sournois de continuer à le faire de toute façon.

Les applications peuvent collecter ce type de données lorsqu'elles sont ouvertes, mais la fermeture d'une application est censée interrompre le flux de données et empêcher l'application de fonctionner. Cependant, il semble que les notifications offrent une porte dérobée.

Comment ça se passe ?

Apple fournit un logiciel spécial pour aider vos applications à envoyer des notifications. Pour certaines notifications, l'application peut avoir besoin de jouer un son ou de télécharger du texte, des images ou d'autres informations. Si l'application est fermée, le système d'exploitation de l'iPhone la laisse se réveiller temporairement pour contacter les serveurs de l'entreprise, vous envoyer la notification et effectuer toute autre opération nécessaire. C'est au cours de cette brève période que Mysk a repéré la collecte de données.

« Ils peuvent intentionnellement envoyer une notification à un appareil ciblé afin que l'application démarre en arrière-plan et renvoie des informations », explique Mysk. Si une entreprise comme TikTok ou X/Twitter souhaite obtenir rapidement les adresses IP de 100 000 personnes dont l'application est fermée, il suffit d'envoyer une notification rapide. « C'est époustouflant », a-t-il déclaré.

Il est tout à fait raisonnable qu'une application veuille analyser la façon dont les utilisateurs interagissent avec les notifications afin d'optimiser ses services. Toutefois, Mysk estime qu'il y a plusieurs raisons de penser que ce n'est pas la raison pour laquelle les applications collectent ces données.

D'une part, Apple fournit directement aux développeurs d'applications des détails sur ce qui se passe avec les notifications. Il n'est donc pas nécessaire de collecter des informations supplémentaires si vous savez ce qui s'est passé après avoir envoyé une notification à vos utilisateurs. En outre, de nombreuses données collectées par les applications ne semblent pas liées à l'analyse du fonctionnement des notifications, comme l'espace disque disponible sur votre téléphone ou le temps écoulé depuis votre dernier redémarrage, explique Mysk.

De plus, d'autres entreprises avides de données envoient des notifications sans se régaler de toutes ces autres informations. Lorsque Mysk a testé Gmail et YouTube, par exemple, les applications n'ont collecté que des données manifestement liées au traitement des notifications. Selon Mysk, si une entreprise comme Google peut vous envoyer une notification sans fouiller dans d'autres détails, cela suggère que la collecte de données qu'il a repérée avec les autres applications est effectuée pour servir d'autres objectifs.

Il existe quelques explications potentiellement innocentes au problème des données de notification. Par exemple, les développeurs laissent parfois dans leurs applications d'anciens codes qui exécutent des fonctions dont les entreprises n'ont plus besoin. Il est théoriquement possible qu'une application comme LinkedIn soit configurée pour collecter des données qui ne sont utilisées à aucune fin. Les chercheurs ont toutefois déclaré qu'il était difficile d'y croire.

Une modification prochaine des règles du système d'exploitation de l'iPhone pourrait améliorer la situation, mais il n'est pas certain qu'elle résoudra le problème. À partir du printemps 2024, les développeurs d'applications devront expliquer pourquoi et comment ils utilisent certaines API qui, dans ce contexte, sont essentiellement des éléments de logiciel que les applications utilisent pour communiquer entre elles et avec le système d'exploitation de l'iPhone.

En théorie, cela pourrait obliger les entreprises à révéler pourquoi elles vous surveillent et, si elles collectent des données à des fins illégitimes, peut-être devront-elles cesser de le faire. « La mauvaise nouvelle, c'est qu'on ne sait pas très bien comment Apple va faire appliquer cette loi », a déclaré Mysk.

Sources : Apple (documentation sur les notifications), Apple (décrire l'utilisation qui sera faite de l'API), Mysk (vidéo dans le texte)

Et vous ?

Que pensez-vous de la pratique des applications iPhone qui récoltent des données en secret lorsqu’elles vous envoient des notifications ? Est-ce une violation de votre vie privée ou un moyen légitime d’améliorer votre expérience utilisateur ?
Faites-vous confiance aux applications que vous utilisez sur votre iPhone ? Vérifiez-vous les paramètres de confidentialité et les autorisations que vous leur accordez ? Comment pouvez-vous vous protéger contre le fingerprinting et le suivi des utilisateurs ?
Quel est le rôle d’Apple dans cette affaire ? Pensez-vous qu’Apple devrait renforcer ses règles de confidentialité et sanctionner les applications qui les contournent ? Ou pensez-vous qu’Apple devrait laisser les utilisateurs choisir librement les applications qu’ils veulent utiliser et les données qu’ils veulent partager ?