Discussion :

[Stéphane le calme]

Apple s’attaque au fingerprinting en imposant de nouvelles règles aux développeurs dans leur utilisation des API de l’App Store,
une décision qui suscite la polémique

Apple a toujours fait de la protection de la vie privée des utilisateurs une priorité pour son App Store, avec des règles sur la collecte des données, des exigences sur l’étiquetage des applications, des mesures anti-pistage et l’option plus privée “Se connecter avec Apple”. Maintenant, Apple va commencer à exiger que les développeurs expliquent pourquoi ils ont besoin d’accéder à certaines données, dans certaines circonstances, avec une nouvelle politique destinée à empêcher l’utilisation abusive des API.

En 2018, Apple a déclaré qu’il allait s’attaquer au fingerprinting sur macOS en limitant les données auxquelles les sites web peuvent accéder sur son navigateur Safari, et maintenant, il s’attaque au problème avec les applications également

Les API, ou interfaces de programmation d’applications, sont utilisées par les développeurs pour extraire et échanger des données. Dans le contexte de la nouvelle règle de l’App Store, Apple explique que certaines API peuvent être utilisées par les développeurs pour collecter des données sur les appareils des utilisateurs afin de les suivre en faisant du profilage (“fingerprinting”). Cela signifie que les API sont utilisées pour accéder à certains signaux du dispositif dans le but d’identifier le dispositif ou l’utilisateur. Apple n’autorise pas le fingerprinting, même si l’utilisateur a donné à l’application la permission de le suivre.

La nouvelle règle entrera en vigueur à l’automne 2023, annonce Apple. Les développeurs qui téléchargeront une application ou une mise à jour d’application sur l’App Store après cette date sans fournir une raison pour leur utilisation de l’API seront informés qu’ils doivent ajouter la raison approuvée au manifeste de confidentialité de leur application avant de la soumettre à nouveau. Cela s’étend également aux SDK (kits de développement logiciel) tiers que leur application utilise. Ensuite, au printemps 2024, les applications et les mises à jour d’applications qui n’incluent pas une raison seront rejetées.

Apple explique que si l’application a besoin d’utiliser une API pour une raison différente que le développeur estime qu’elle devrait être approuvée, il devra entrer en contact avec Apple. Certains développeurs ont exprimé des inquiétudes sur l’exigence de fournir une raison pour utiliser UserDefaults, une API basique et régulièrement utilisée. Pour mémoire, il s'agit d'une API qui stocke les préférences de l'utilisateur pour une application, ce qui signifie que de nombreuses applications l'utilisent.

Ces développeurs s'inquiètent donc de voir leurs applications être rejetées simplement pour avoir oublié d'ajouter une explication pour l'utilisation de l'API. Dans le même temps, il est difficile d'imaginer comment Apple contrôlera l'utilisation de cette API puisque la plupart des développeurs peuvent simplement dire qu'ils stockent les préférences de l'utilisateur avec.

Quoi qu'il en soit, d’autres développeurs ont estimé qu’il ne s’agit pas d’une répression sur l’utilisation légitime, mais simplement d’une exigence de fournir une raison énoncée.

L'annonce d'Apple

Certaines API que votre application utilise pour fournir ses fonctionnalités de base - dans le code que vous écrivez ou inclus dans un SDK tiers - peuvent être utilisées à mauvais escient pour accéder aux signaux de l'appareil afin d'essayer d'identifier l'appareil ou l'utilisateur, également connu sous le nom de fingerprinting. Qu'un utilisateur accorde ou non à votre application l'autorisation d'effectuer le suivi, le fingerprinting n'est pas autorisé. Décrivez les raisons pour lesquelles votre application ou votre SDK tiers sur iOS, iPadOS, tvOS, visionOS ou watchOS utilise ces API, et vérifiez que votre application ou votre SDK tiers n'utilise les API que pour les raisons attendues.

Important

À partir de l'automne 2023, vous recevrez un e-mail d'Apple si vous téléchargez (upload) une application sur l'App Store Connect qui utilise l'API sans en décrire la raison dans son fichier manifeste de confidentialité. À partir du printemps 2024, les applications qui ne décrivent pas leur utilisation de l'API de raison requise dans leur fichier manifeste de confidentialité ne seront pas acceptées par App Store Connect.

Pour chaque catégorie d'API dont la raison d'utilisation par votre application ou votre SDK tiers est requise, ajoutez un dictionnaire au tableau NSPrivacyAccessedAPITypes dans le fichier manifeste de confidentialité de votre application ou du SDK tiers qui indique les raisons pour lesquelles votre application utilise la catégorie d'API. Si vous utilisez l'API dans le code de votre application, vous devez signaler l'API dans le fichier manifeste de confidentialité de votre application. Si vous utilisez l'API dans le code de votre SDK tiers, vous devez signaler l'API dans le fichier manifeste de confidentialité de votre SDK tiers. Votre SDK tiers ne peut pas s'appuyer sur les fichiers manifestes de confidentialité des applications qui lient le SDK tiers, ni sur ceux d'autres SDK tiers auxquels les applications sont liées, pour signaler l'utilisation par votre SDK tiers de l'API.

Important

Votre application ou SDK tiers doit déclarer une ou plusieurs raisons approuvées qui reflètent avec précision votre utilisation de chacune de ces API et les données dérivées de leur utilisation. Vous pouvez utiliser ces API et les données dérivées de leur utilisation uniquement pour les raisons déclarées. Ces raisons déclarées doivent être cohérentes avec les fonctionnalités de votre application telles qu'elles sont présentées aux utilisateurs, et vous ne pouvez pas utiliser les API ou les données dérivées pour le suivi.

Chaque dictionnaire du tableau NSPrivacyAccessedAPITypes doit contenir ces clés et ces valeurs*:

• NSPrivacyAccessedAPITypeNSPrivacyAccessedAPIType : une chaîne qui identifie la catégorie d'API de raison requises utilisées par votre application. La valeur que vous fournissez doit être l'une des valeurs répertoriées dans les sections ci-dessous.
• NSPrivacyAccessedAPITypeReasons : un tableau de chaînes qui identifie les raisons pour lesquelles votre application utilise les API. Les valeurs que vous fournissez doivent être les valeurs associées au type d'API consulté dans les sections ci-dessous.

Les catégories d'API dont la raison d'utilisation est requise, quelles API se trouvent dans chaque catégorie et les raisons que vous pouvez inclure dans un manifeste de confidentialité sont décrites dans les sections ci-dessous.

Apple et le fingerprinting

Le fingerprinting est une méthode de suivi des utilisateurs et des appareils qui consiste à utiliser des API pour récupérer des caractéristiques du smartphone ou du PC, comme la résolution de l’écran, le modèle, le système d’exploitation et d’autres. Il peut ensuite prendre toutes ces informations et créer une “empreinte numérique” unique, qui permet de reconnaître l’utilisateur lorsqu’il se rend sur d’autres applications ou sites web.

Apple a déclaré la guerre au pistage lorsqu’il a lancé iOS 14.5 en 2021, obligeant les développeurs à demander la permission des utilisateurs avant de les suivre. Selon les données de la société d'analyse d'applications Flurry, seuls 4 % des utilisateurs d'iPhone aux États-Unis ont opté pour le suivi des applications deux semaines après qu'Apple a publié l’App Tracking Transparency dans le cadre d'iOS 14.5

« Jusqu'à présent, les applications pouvaient s'appuyer sur l'identifiant de l'annonceur (IDFA) d'Apple pour suivre les utilisateurs à des fins de ciblage et de publicité. Avec le lancement d'iOS 14.5 cette semaine, les applications mobiles doivent désormais demander aux utilisateurs qui ont effectué la mise à niveau vers iOS 14.5 l'autorisation de collecter des données de suivi. Le taux d'acceptation devrait être faible », a écrit Flurry dans son rapport. La société d’analyse s'attend à ce que ce changement crée des défis pour la publicité personnalisée, « ce qui aura un impact sur le secteur de la publicité mobile, qui représente 189 milliards de dollars dans le monde ».

Cette fois-ci, Apple va un cran au-dessus et tente d’empêcher le fingerprinting, qui est apparu dans le paysage numérique il y a une dizaine d’années. En 2018, Apple a annoncé qu’il allait s’attaquer au fingerprinting sur macOS en limitant les données auxquelles les sites web peuvent accéder sur son navigateur Safari, et maintenant, il s’attaque au problème avec les applications également.

Apple n’est pas le seul à lutter contre le fingerprinting

Le fingerprinting est considéré comme une pratique intrusive et potentiellement illégale. Aussi, les éditeurs de navigateur prennent souvent des mesures pour lutter contre cette pratique.

Par exemple, Google a indiqué :

À partir de Chrome 110 (février 2023), nous introduisons progressivement une valeur fixe pour la version Android et le modèle d'appareil. La valeur par défaut sera toujours Android 10 sur un modèle K. Si vous comptez sur l'agent utilisateur pour détecter la version du système d'exploitation d'un visiteur, le modèle d'appareil Android ou la version détaillée du navigateur, vous devrez peut-être prendre des mesures

Firefox s'attaque également à cette pratique :

Comme d’autres navigateurs, le fonctionnement de Firefox est dépendant du système d’exploitation, du matériel, des cartes graphiques, des logiciels supplémentaires et même des polices de caractères installées. Certaines technologies du Web, comme HTML5 Canvas, peuvent même vous identifier de manière unique en se basant sur la façon dont votre ordinateur dessine les images.

Quelques sites web, en particulier ceux qui utilisent HTML5 Canvas, recherchent cette combinaison unique de facteurs et vous assignent un nombre, ou « empreinte numérique », qui vous rend identifiable partout sur le Web. Cette « empreinte numérique » peut être utilisée pour créer votre profil et proposer du contenu ciblé sans utiliser de cookies.

Firefox dispose déjà d’une fonctionnalité de protection renforcée contre le pistage qui bloque une liste de « détecteurs d’empreinte numérique » connus lorsque vos paramètres de vie privée sont réglés sur Standard (par défaut) ou Stricte. La protection contre les détecteurs d’empreinte numérique est une fonctionnalité différente et expérimentale qui est en plein développement dans Firefox. Il est possible qu’elle dégrade votre utilisation du Web, aussi n’est-elle recommandée qu’à ceux qui désirent tester des fonctionnalités expérimentales.

Comment protège-t-elle ?

Si un site web essaie d’extraire vos données, Firefox vous prévient par une notification dans la barre d’adresse. Vous pouvez alors choisir d’accepter que le site extraie vos données. C’est la façon la plus habituelle de voir cette protection à l’œuvre.

Cependant, la protection contre les détecteurs d’empreinte numérique ne s’arrête pas à la demande de permission pour Canvas. Elle modifie la détection dont vous faites l’objet en ligne :

• votre fuseau horaire est indiqué comme UTC (temps universel coordonné) ;
• les polices de caractères installées sur votre ordinateur ne sont pas toutes disponibles pour les pages web ;
• la fenêtre du navigateur préfère être dimensionnée à une taille précise ;
• votre navigateur indique un numéro de version particulier et courant, et un système d’exploitation ;
• la disposition et la langue de votre clavier sont travesties ;
• les capacités de vos webcam et microphone sont travesties ;
• l’API Media Statistics Web rapporte des informations trompeuses ;
• les paramètres de zoom propres à un site ne sont pas appliqués ;
• les API WebSpeech, Gamepad, Sensors et Performance Web sont désactivées.

Cette liste n’est pas exhaustive. D’autres fonctionnalités peuvent être modifiées ou désactivées.

Le fingerprinting est également critiqué par les défenseurs de la vie privée, qui estiment qu’il viole le consentement des utilisateurs et leur droit à l’oubli.

Conclusion

Apple espère que sa nouvelle règle pour les API de l’App Store contribuera à réduire le fingerprinting et à renforcer la confiance des utilisateurs dans ses produits et services. Les développeurs qui respectent les bonnes pratiques de confidentialité n’auront pas à craindre de rejet de leurs applications, mais ceux qui tentent de tromper Apple et ses clients devront se conformer ou faire face aux conséquences.

Source : Apple

Et vous ?

Pensez-vous qu’Apple a raison de renforcer sa lutte contre le fingerprinting avec de nouvelles règles pour les API de l’App Store

[Bruno]

Des développeurs critiquent Google et Meta pour non-respect des règles d'Apple sur les empreintes digitales,
soulignant des lacunes dans la protection de la vie privée des utilisateurs

Apple a récemment renforcé ses exigences envers les développeurs d'applications iOS, leur demandant de justifier l'utilisation d'un ensemble spécifique d'API potentiellement liées à la collecte d'empreintes digitales. Cette initiative vise à protéger la vie privée des utilisateurs en restreignant la collecte de données. Cependant, des géants de la technologie tels que Google, Meta et Spotify semblent ne pas respecter ces règles, selon des développeurs. Ils affirment que ces entreprises continuent d'utiliser ces API pour collecter des données, enfreignant ainsi les directives d'Apple. Bien que Google ait affirmé que ses pratiques sont conformes et que les données extraites servent à des fins légitimes, des experts soulignent des lacunes dans l'application de ces règles par Apple, considérant que les déclarations des développeurs ne sont pas vérifiées.

Apple, soucieux de la confidentialité de ses utilisateurs, a toujours imposé des normes strictes dans son App Store, telles que des règles sur la collecte des données, des exigences d'étiquetage des applications, des mesures anti-pistage, et l'option « Se connecter avec Apple ». Récemment, la société a annoncé une nouvelle politique visant à prévenir l'abus des API en exigeant des développeurs qu'ils justifient l'accès à certaines données dans certaines circonstances. En 2018, Apple a commencé à lutter contre le fingerprinting sur macOS en limitant l'accès des sites web à certaines données dans son navigateur Safari, puis a étendu cette mesure aux applications en 2023.

Les API, interfaces de programmation d'applications, sont des outils essentiels pour les développeurs, mais certaines peuvent être exploitées pour collecter des données permettant de profiler les utilisateurs, ce qu'Apple interdit même si l'utilisateur a consenti à être suivi. La nouvelle politique, initialement annoncée pour l'automne 2023, exige que les développeurs fournissent une raison justifiant l'utilisation de chaque API dans le manifeste de confidentialité de leur application. Cela concerne également les kits de développement tiers utilisés par les applications. À partir du printemps 2024, les applications sans explication pour l'utilisation des API risquent le rejet.

Apple offre la possibilité aux développeurs de contacter l'entreprise pour obtenir une approbation si leur utilisation des API diffère de celle prévue. Cependant, certains développeurs craignent que des applications puissent être rejetées pour des raisons mineures, comme l'utilisation de l'API UserDefaults pour stocker les préférences de l'utilisateur. Malgré ces préoccupations, d'autres développeurs estiment que cette politique ne vise pas à restreindre les utilisations légitimes des API, mais simplement à exiger une justification claire de leur utilisation.

L'API « Required Reason » d'Apple contrecarre-t-elle la prise d'empreintes digitales des appareils ?

À partir du 1er mai 2024, Apple exige des développeurs qu'ils déclarent les raisons pour lesquelles leurs applications utilisent des API susceptibles d'être utilisées à mauvais escient pour collecter des signaux uniques de l'appareil. Ces signaux uniques permettent aux auteurs d'abus de dériver un identifiant ou une empreinte digitale de l'appareil et de suivre les activités de l'utilisateur dans différentes applications de différents développeurs. Ces API sont appelées « API de raison requise ». Pour éviter toute utilisation abusive de ces API, Apple rejettera les applications qui ne décrivent pas leur utilisation des API dans leur fichier manifeste de confidentialité. Cependant, des applications telles que Google Chrome, Instagram, Spotify et Threads ne respecteraient pas les raisons déclarées.

Lors de la WWDC 2023, Apple a annoncé une nouvelle mesure de confidentialité visant à empêcher l'empreinte digitale des appareils, une pratique interdite par l'accord de licence du programme des développeurs d'Apple. Apple a publié une liste préliminaire d'API susceptibles d'être utilisées à mauvais escient pour collecter des signaux uniques de l'appareil. Avant d'utiliser l'une de ces API, les développeurs doivent déclarer la raison de leur utilisation dans un fichier manifeste de confidentialité.

La liste évoluera au fil du temps, car de nouvelles API seront ajoutées en fonction des besoins. Apple a fourni une liste de raisons approuvées pour chaque API. Les développeurs doivent revoir leur code et choisir la raison approuvée qui décrit le mieux leur utilisation de l'API. En outre, les développeurs sont également responsables des SDK tiers inclus dans leurs applications et, par conséquent, sont tenus de décrire leur utilisation de l'API de raison requise. Apple a également publié une liste de SDK nécessitant un manifeste de confidentialité et une signature.

La mise à jour du manifeste de confidentialité pour le processus d'examen des applications par Apple ajoute une autre tâche aux développeurs. La description de l'utilisation des API vise à prévenir efficacement le fingerprinting. Ce processus sensibilise également les développeurs aux API et explique pourquoi l'accès à celles-ci doit être limité et pourquoi les données récupérées doivent rester sur l'appareil et ne jamais être transmises en dehors de celui-ci.

Une analyse du trafic réseau de plusieurs applications populaires mises à jour après le 1er mai a été réalisée. L'attention s'est concentrée sur l'API qui récupère l'heure de démarrage de l'appareil, ou le temps de fonctionnement du système, mesurant le temps écoulé depuis son redémarrage en secondes. Combiné à d'autres données, le temps de fonctionnement du système peut créer une empreinte digitale précise de l'appareil.

L'utilisation des API relatives à l'heure de démarrage du système nécessite la déclaration d'une raison approuvée. Les raisons approuvées possibles pour l'utilisation de l'API de l'heure de démarrage du système sont les suivantes :

• 35F9.1 : déclarer ce motif pour accéder à l'heure de démarrage du système afin de mesurer le temps qui s'est écoulé entre les événements survenus dans l'application ou d'effectuer des calculs pour activer des minuteries. Les informations consultées pour cette raison, ou toute information dérivée, ne peuvent pas être envoyées hors de l'appareil. Il existe une exception pour les informations relatives au temps écoulé entre les événements survenus dans l'application, qui peuvent être envoyées en dehors du dispositif ;
• 8FFB.1 : déclarez ce motif pour accéder à l'heure de démarrage du système afin de calculer les horodatages absolus des événements qui se sont produits dans votre application, tels que les événements liés aux cadres UIKit ou AVFAudio. Les horodatages absolus des événements survenus dans votre application peuvent être envoyés hors de l'appareil. L'heure de démarrage du système à laquelle vous accédez pour cette raison, ou toute autre information dérivée de l'heure de démarrage du système, ne peut pas être envoyée hors de l'appareil ;
• 3D61.1 : déclarez cette raison d'inclure des informations sur l'heure de démarrage du système dans un rapport de bogue facultatif que la personne utilisant l'appareil choisit de soumettre. Les informations relatives à l'heure de démarrage du système doivent être affichées de manière visible pour la personne dans le cadre du rapport. Les informations consultées pour cette raison, ou toute information dérivée, ne peuvent être envoyées hors du dispositif qu'après que l'utilisateur a choisi de soumettre le rapport de bogue spécifique comprenant les informations sur l'heure de démarrage du système, et uniquement dans le but d'enquêter sur le rapport de bogue ou d'y répondre.

Toutes les raisons approuvées soulignent que les informations récupérées par les API ne peuvent pas être envoyées hors de l'appareil.

Analyse de la conformité des applications aux raisons déclarées

Facebook

Facebook déclare le motif approuvé 35F9.1 pour l'accès à l'heure de démarrage du système, comme le montre son fichier manifeste de confidentialité (extrait des binaires de l'application) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<dict> <key>NSPrivacyAccessedAPIType</key> <string>NSPrivacyAccessedAPICategorySystemBootTime</string> <key>NSPrivacyAccessedAPITypeReasons</key> <array> <string>35F9.1</string> </array> </dict>

Instagram enverait toujours l'heure de disponibilité du système en dehors de l'appareil. Voici une capture d'écran de la demande :

Instagram : le temps de fonctionnement de l'appareil et la version de l'application sont mis en évidence

Spotify

Spotify déclare les motifs approuvés 35F9.1 et 8FFB.1 pour accéder à l'heure de démarrage du système, comme le montre son fichier manifeste de confidentialité (extrait des binaires de l'application) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<dict>
    <key>NSPrivacyAccessedAPIType</key>
    <string>NSPrivacyAccessedAPICategorySystemBootTime</string>
    <key>NSPrivacyAccessedAPITypeReasons</key>
    <array>
        <string>35F9.1</string>
        <string>8FFB.1</string>
    </array>
</dict>

Comme indiqué ci-dessus, les deux raisons déclarées demandent aux développeurs de ne pas envoyer les informations accédées en dehors de l'appareil. Cependant, des tests montrent que Spotify envoie toujours le temps de fonctionnement du système en dehors de l'appareil. Voici une capture d'écran de la requête :

Spotify : le temps de fonctionnement de l'appareil et l'heure actuelle sont mis en évidence

Les représentants de Google ont affirmé qu'après un examen approfondi du problème, les données extraites des appareils ne sont pas utilisées à des fins de suivi, et que le logiciel fonctionne conformément aux attentes. « Après avoir étudié les recherches, nous avons conclu que le comportement de Chrome ne viole pas la politique d'Apple et que les données ne sont pas exploitées pour le fingerprinting », a déclaré un porte-parole. « En réalité, ces données sont utilisées pour assurer le bon fonctionnement de l'appareil. » Google précise que les données transmises hors de l'appareil ne proviennent pas des API requises, mais servent à maintenir l'exactitude de l'horloge, notamment lors de changements de fuseau horaire.

Bien que la demande pour que les développeurs expliquent leur utilisation des API requises constitue une première étape prometteuse pour lutter contre le fingerprinting, elle laisse néanmoins planer des doutes quant au respect de la vie privée. Apple ne propose aucun mécanisme de vérification pour garantir que les déclarations des développeurs sont authentiques, une situation similaire à celle des étiquettes nutritionnelles introduites précédemment.

L'initiative d'Apple visant à renforcer les exigences des développeurs d'applications iOS pour justifier l'utilisation d'API spécifiques liées à la collecte d'empreintes digitales semble être une mesure positive pour protéger la vie privée des utilisateurs. La restriction de la collecte de données est une préoccupation croissante dans un monde numérique où la confidentialité est de plus en plus menacée.

Cependant, les allégations selon lesquelles des géants de la technologie comme Google, Meta et Spotify ne respectent pas ces règles sont préoccupantes. Si ces entreprises utilisent effectivement ces API pour collecter des données sans le consentement approprié des utilisateurs ou en violation des politiques d'Apple, cela soulève des questions éthiques et juridiques importantes.

Il est également troublant de constater que les déclarations des développeurs ne sont pas vérifiées par Apple. Si les entreprises peuvent simplement affirmer que leurs pratiques sont conformes sans être tenues de fournir de preuves, cela affaiblit l'efficacité des mesures de protection de la vie privée mises en place par Apple. Cela suggère également un manque de responsabilité de la part des géants de la technologie, qui pourraient potentiellement contourner les règles en toute impunité.

Il est essentiel qu'Apple prenne des mesures concrètes pour garantir le respect de ses directives par toutes les entreprises opérant sur ses plateformes. Cela pourrait impliquer une vérification plus rigoureuse des déclarations des développeurs, des sanctions plus sévères pour les contrevenants, ou même des audits indépendants pour garantir la conformité.

Dans l'ensemble, bien que l'initiative d'Apple soit louable dans sa volonté de protéger la vie privée des utilisateurs, il est nécessaire d'aller plus loin pour garantir une application cohérente et efficace de ces règles dans toute l'industrie technologique.

Sources : Mysk, Apple

Et vous ?

Quel est votre avis sur le sujet ?

Est-ce que les bénéfices justifient les efforts investis ?

Existe-t-il des alternatives ou des solutions supplémentaires qu'Apple pourrait envisager pour renforcer davantage la protection de la vie privée des utilisateurs sur ses plateformes ?

Voir aussi :

Apple s'attaque au fingerprinting en imposant de nouvelles règles aux développeurs dans leur utilisations des API de l'App Store, une décision qui suscite la polémique

Apple permet désormais aux développeurs iOS d'envoyer des publicités en utilisant les notifications "push", la fonction "Sign In with Apple" sera également disponible le mois prochain