1 pièce(s) jointe(s)
Apple rassure que son navigateur Safari ne partage que les adresses IP, et pas les URL, des utilisateurs
Le navigateur Safari d'Apple envoie les adresses IP de certains utilisateurs à Tencent
en Chine
De nombreuses informations ont commencé à circuler sur Internet à propos des récents agissements de la multinationale américaine vis-à-vis des autorités chinoises. La semaine passée, un rapport de Reclaim the Net a révélé qu'Apple a ajouté les contrôles Tencent Safe Browsing aux contrôles Google Safe Browsing existants dans son navigateur Internet Safari dans le mois de février dernier. Ce qui permet à Safari d’envoyer l’adresse IP et d'autres données de navigation de certains utilisateurs d’iPhone ou iPad au chinois Tencent.
« On sait maintenant qu'Apple, qui se positionne souvent comme un champion de la vie privée et des droits de l'homme, envoie les adresses IP des utilisateurs de son navigateur Safari sur iOS au conglomérat chinois Tencent, une entreprise étroitement liée au Parti communiste chinois », peut-on lire dans le rapport de Reclaim the Net. Apple Inc. a mentionné qu’il envoie les adresses IP de certains de ses utilisateurs à Tencent dans la section « À propos de la confidentialité et de la sécurité » dans les paramètres du navigateur sur les appareils iOS.
Cette section est accessible sur un périphérique iOS en ouvrant l’application Paramètres, puis en sélectionnant « Safari > À propos de la confidentialité et de la sécurité ». À ce stade, Apple a expliqué que, pour s’assurer de la sécurité d’une page Web que vous êtes sur le point de visiter, le navigateur envoie certaines données de navigations, y compris votre adresse IP, à Google Safe Browsing et à Tencent Safe Browsing pour qu’ils effectuent cette vérification. À la fin de la déclaration, il est également mentionné que ces fournisseurs peuvent enregistrer votre adresse IP.
« Avant de visiter un site Web, Safari peut envoyer les informations calculées à partir de l'adresse du site Web à Google Safe Browsing et à Tencent Safe Browsing afin de vérifier si le site Web est frauduleux. Ces fournisseurs de navigation sécurisés peuvent également enregistrer votre adresse IP », indique la description faite par Apple de la fonctionnalité "Fraudulent Website Warning" (Avertissement de site Web frauduleux). Selon le rapport de Reclaim the Net, la fonctionnalité "Fraudulent Website Warning" est activée par défaut sur tous les périphériques iOS.
Tant qu’elle n’est pas retirée, sur un iPhone ou un iPad, Tencent et Google peuvent récupérer les adresses IP des utilisateurs d’appareils iOS. En d’autres mots, cela signifie qu'à moins que les utilisateurs d'iPhone ou d'iPad ne plongent de deux niveaux dans leurs paramètres et le désactivent, leurs adresses IP peuvent être enregistrées par Tencent ou Google lorsqu'ils utilisent le navigateur Safari. Cependant, cela rend les sessions de navigation moins sûres et rend les utilisateurs vulnérables lors de l'accès à des sites Web frauduleux.
En effet, Safe Browsing est un service de liste noire fourni par des tiers comme Google et Tencent qui fournissent des listes d'URL pour les ressources Web qui contiennent des logiciels malveillants ou du contenu de phishing. Les navigateurs Web Google Chrome, Safari, Mozilla Firefox, Vivaldi et GNOME utilisent les listes du service Google Safe Browsing pour vérifier les pages contre les menaces potentielles. Par contre, Apple utilise à la fois les services Google Safe Browsing et Tencent Safe Browsing (qu'il a ajouté récemment) pour les utilisateurs résidant en Chine.
Selon certains commentaires sur Twitter, l’ajout de Tencent comme service Safe Browsing par Apple aurait commencé en février de cette année avec iOS 12.2 bêta. Il utilisait Google Safe Browsing depuis un certain temps. Le problème vient du fait que, mis à part l’adresse IP des utilisateurs, l’on ignore la nature exacte des autres informations envoyées par le navigateur Safari à Google et en particulier à Tencent. Cette pratique de la société vient encore rajouter une couche aux rumeurs qui circulent depuis peu sur les relations entre la Chine et Apple.
D’après d’autres sources, Tencent ne recevrait pas uniquement les informations d'internautes chinois, il pourrait aussi recevoir celles d’autres internautes dans le monde. De plus, Reclaim the Net a mentionné que Safari est non seulement le navigateur par défaut sur les appareils iOS, mais selon de récentes statistiques, il s'agit du navigateur Internet mobile le plus populaire aux États-Unis, avec une part de marché de plus de 50%. Et ce qui pourrait sembler encore plus déroutant, c’est qu'il est presque impossible de vous passer du navigateur Safari sur iOS.
Toujours selon le rapport de Reclaim the Net, vous pouvez tenter de vous passer de Safari en installant un navigateur tiers. Toutefois, si vous affichez une page Web dans une application, elle s’ouvre toujours sous une forme intégrée de Safari appelée Safari View Controller. Par défaut, les liens au sein des applications ouvrent également Safari. Essentiellement, il est très difficile d'éviter d'utiliser Safari sur iOS. L’autre problème dans le fait de voir Tencent récolter ces données, c’est qu’il est étroitement lié au régime chinois, et au Parti communiste du pays.
Tencent est le propriétaire du réseau social chinois WeChat et collaborerait étroitement avec le Parti communiste chinois pour faciliter la censure mise en place par Pékin pour empêcher la diffusion d'informations négatives sur le gouvernement. Tencent est également le propriétaire de l’application de messagerie instantanée QQ. La société disposerait des moyens pouvant lui permettre de faire converger les IP récupérées avec celles de ses utilisateurs. Cela plonge Apple dans une position délicate alors que les récentes critiques envers la société ne se sont pas encore apaisées.
Le comportement de la multinationale américaine soulève plusieurs problèmes au regard des récents événements qui ont eu lieu à Hong Kong. Une adresse IP peut dévoiler la localisation d’une personne. De plus, elle peut également permettre à celui qui la possède de suivre un utilisateur à travers plusieurs appareils (ordinateur, smartphone, etc.). Dans un objectif de marketing ou publicitaire, cet aspect est évidemment intéressant, mais avec la Chine et ses nombreux programmes de surveillance, cela ne serait peut-être pas ce à quoi les gens penseront en premier.
Apple ploie-t-il trop le genou devant la Chine au risque de perdre sa part de marché dans l’Empire du Milieu ? À la demande du gouvernement chinois, Apple a retiré la semaine passée l’application HKmap Live de l’App Store, après l’avoir accepté précédemment. La Chine a accusé l’application de mettre en dangers les policiers et Tim Cook a indiqué dans une lettre la semaine que l’entreprise a reçu des preuves de cela de la part du gouvernement chinois. Bien avant cela, la société avait censuré le drapeau taïwanais pour les utilisateurs d’iOS de la ville de Hong-Kong.
Ailleurs, l’on estime qu’à nouveau, et en peu de temps, l’entreprise dirigée par Tim Cook s’illustre en allant à l’encontre de ses valeurs. Dans sa lettre de la semaine passée envoyée en interne aux employés, Tim Cook a défendu les agissements de la société, mais le patron d’Apple n’aurait pas réussi à mettre tout le monde d’accord sur le sujet.
Source : Reclaim the Net
Et vous ?
:fleche: Qu'en pensez-vous ?
:fleche: Apple fait-il trop de compromis avec le gouvernement chinois selon vous ?
Voir aussi
:fleche: Tim Cook défend la décision de retirer l'application de Hong Kong Maps (HKmap Live) dans un mail adressé aux employés de la société
:fleche: Apple censure l'émoji du drapeau taïwanais pour les utilisateurs iOS de la ville de Hong-Kong, mais il y a toujours un moyen de l'utiliser
:fleche: Blizzard s'exprime sur le bannissement du joueur de Heartstone qui avait déclaré son soutien aux manifestants de Hong Kong et décide de lui remettre sa prime
:fleche: App Store : après les avertissements de la Chine, Apple finit par éjecter l'application HKmap Live qui permet aux manifestants de Hong Kong d'éviter la police
1 pièce(s) jointe(s)
Apple rassure que son navigateur Safari ne partage que les adresses IP, et pas les URL, des utilisateurs
Apple rassure que son navigateur Safari ne partage que les adresses IP, et pas les URL, de certains utilisateurs
avec ses fournisseurs de services de navigation sécurisée
La semaine passée, Reclaim the Net, un site Web de cybersécurité, a déclenché une vague de réactions sur la toile après avoir publié un rapport indiquant qu’Apple partage les adresses IP des utilisateurs d’iOS localisés en Chine avec Tencent Holdings. D’après la rumeur, Tencent serait lié au gouvernement communiste chinois et ne recevrait pas que les adresses IP, mais également d’autres informations de navigation. Apple a réagi à cette rumeur cette semaine en déclarant que l’entreprise ne transmettait pas les URL de Safari à Tencent, mais uniquement les adresses IP.
Un rapport de Reclaim the Net a révélé la semaine passée qu’Apple a ajouté les contrôles Tencent Safe Browsing aux contrôles Google Safe Browsing existants dans son navigateur Web Safari dans le mois de février dernier. « On sait maintenant qu'Apple, qui se positionne souvent comme un champion de la vie privée et des droits de l'homme, envoie les adresses IP des utilisateurs de son navigateur Safari sur iOS au conglomérat chinois Tencent, une entreprise étroitement liée au Parti communiste chinois », mentionne le rapport de Reclaim the Net.
En effet, Safari reçoit une liste de préfixes de hachage d’URL réputées malveillantes de Google ou de Tencent, en choisissant entre eux en fonction du paramètre de région de l’appareil (Tencent pour la Chine, Google pour les autres pays). Les préfixes de hachage sont les mêmes pour plusieurs URL, ce qui signifie que le préfixe de hachage reçu par Safari n'identifie pas de manière unique une URL. Avant de charger un site Web, Safari vérifie si l'URL d'un site Web a un préfixe de hachage correspondant aux préfixes de hachage des sites malveillants.
Ceci représente le cas où la fonctionnalité de Safari "Fraudulent Website Warning" est activée (Avertissement de site Web frauduleux). Si une correspondance est trouvée, Safari envoie le préfixe de hachage à son fournisseur de navigation sécurisé, puis demande la liste complète des URL comportant un préfixe de hachage qui correspond à celui suspect. Lorsque Safari reçoit la liste des URL, il compare l'URL suspecte d'origine à la liste. S'il existe une correspondance, Safari affiche la boîte de dialogue d'avertissement suggérant aux utilisateurs de rester en dehors du site.
Cependant, les contrôles Tencent Safe Browsing permettent aussi à Safari de partager l’adresse IP de certains utilisateurs d’iOS avec Tencent. « Avant de visiter un site Web, Safari peut envoyer les informations calculées à partir de l'adresse du site Web à Google Safe Browsing et à Tencent Safe Browsing afin de vérifier si le site Web est frauduleux. Ces fournisseurs de navigation sécurisés peuvent également enregistrer votre adresse IP », indique la description faite par Apple de la fonctionnalité "Fraudulent Website Warning".
Toutefois, la rumeur s’est très vite répandue que Tencent recevrait également d'autres données de navigation des usagers d’iOS à l’instar des adresses IP. Apple a réagi à ces allégations cette semaine en indiquant que Safari n’envoyait pas les données de navigation, notamment les URL, à Tencent, mais uniquement les adresses IP. Apple a publié une déclaration assurant aux clients que les URL de sites Web ne sont pas partagées avec ses fournisseurs de navigation sécurisés. À noter que Safari utilise à la fois Google Safe Browsing et à Tencent Safe Browsing (ajouté récemment).
« Apple protège la vie privée des utilisateurs et protège vos données avec "Safari Fraudulent Website Warning", une fonctionnalité de sécurité qui signale les sites Web connus pour être de nature malveillante. Lorsque cette fonction est activée, Safari vérifie l'URL du site Web par rapport à des listes de sites Web connus et affiche un avertissement si l'URL que l'utilisateur visite est soupçonnée d’un comportement frauduleux comme du phishing », a déclaré un porte-parole d'Apple dans un communiqué envoyé cette semaine au média The Register.
« Pour accomplir cette tâche, Safari reçoit une liste de sites Web connus pour être malveillants de Google, et pour les appareils dont le code régional est défini sur Chine continentale, il reçoit une liste de Tencent. L'URL réelle d'un site Web que vous visitez n'est jamais partagée avec un fournisseur de navigation sûr et la fonction peut être désactivée », a-t-il ajouté. Apple a rassuré qu’il ne partage que les adresses IP des utilisateurs avec ses fournisseurs de navigation sûrs, mais là aussi, il y a un problème. Les adresses IP peuvent servir à beaucoup de choses.
Une adresse IP peut dévoiler la localisation d’une personne. De plus, elle peut également permettre à celui qui la possède de surveiller un utilisateur à travers plusieurs appareils (ordinateur, smartphone, etc.). Dans un objectif de marketing ou publicitaire, cet aspect est évidemment intéressant, mais avec la Chine et les programmes de surveillance dont elle dispose, cela n’est peut-être pas ce à quoi les gens penseront en premier. La fonctionnalité "Fraudulent Website Warning" de Safari peut être désactivée, mais cela rendra la navigation sur Internet moins sûre.
Certains soulignent des problèmes de confidentialité potentiels liés aux API de navigation sécurisée
La navigation serait moins sûre si cette fonctionnalité est désactivée et d'autres navigateurs comme Firefox, Vivaldi et GNOME l’utilisent d’ailleurs, mais certains ont cependant souligné quelques problèmes de confidentialité potentiels liés aux API de navigation sécurisées telles que celles de Google. Dans un article de blogue publié dimanche, Matthew Green, professeur agrégé d'informatique au Johns Hopkins Information Security Institute (Institut de sécurité des informations Johns Hopkins) a fait quelques remarques par rapport à l’utilisation de ces services.
Matthew Green a déclaré que dans la première version de Safe Browsing (navigation privée) de Google, il s'agissait simplement d'une API de Google qui permettait à votre navigateur d'interroger Google sur la sécurité des URL que vous avez visitées. Comme les serveurs de Google reçoivent l'URL complète, ainsi que votre adresse IP (et éventuellement un cookie de suivi pour éviter tout déni de service), cette première API a été une sorte de cauchemar pour la confidentialité. (Cette API existe toujours, et est supportée aujourd'hui sous le nom de "Lookup API").
Pour répondre à ces préoccupations, Google a rapidement mis au point une approche plus sûre pour « naviguer en toute sécurité ». La nouvelle approche s'appelle "Update API", et elle fonctionne comme ceci :
- Google calcule d'abord le hachage SHA256 de chaque URL non sécurisée de sa base de données et tronque chaque hachage jusqu'à un préfixe de 32 bits pour gagner de la place ;
- Google envoie la base de données des hachages tronqués à votre navigateur ;
- chaque fois que vous visitez une URL, votre navigateur la hache et vérifie si son préfixe 32 bits est contenu dans votre base de données locale ;
- si le préfixe se trouve dans la copie locale du navigateur, votre navigateur envoie maintenant le préfixe aux serveurs de Google, qui renvoient une liste de tous les hachages 256 bits des URL correspondantes, afin que votre navigateur puisse vérifier la correspondance exacte.
Selon le professeur Green, à chacune de ces demandes, les serveurs de Google voient votre adresse IP, ainsi que d'autres informations d'identification. Il a ajouté qu’il est également possible que Google mette un cookie dans votre navigateur au cours de certaines de ces demandes. L'API de navigation sécurisée ne dit pas grand-chose à ce sujet aujourd'hui, mais selon lui, ce comportement s’observerait déjà en 2012. D’après Green, la faiblesse de cette approche est qu'elle ne fournit qu'une certaine confidentialité. L'utilisateur type ne se contente pas de visiter une seule URL, il parcourt des milliers d'URL au fil du temps.
Ainsi, cela signifie qu'à la longue, un fournisseur malveillant peut avoir beaucoup de possibilités qui lui permettront de désanonymiser cet utilisateur. Un utilisateur qui navigue sur de nombreux sites Web connexes divulguera progressivement des détails sur son historique de navigation au fournisseur. En supposant que le fournisseur est malveillant et peut relier les demandes. À ce stade, l’on estime que le chinois Tencent disposerait des moyens pouvant lui permettre de faire converger les IP récupérés avec celles de ses utilisateurs.
Il a également souligné que Google Safe Browsing “Update API” n'a jamais été exactement sûr. « Son but n'a jamais été d'offrir une confidentialité aux utilisateurs, mais plutôt de dégrader la qualité des données de navigation que les fournisseurs recueillent », a-t-il déclaré. « Dans le modèle de menace de Google, nous (en tant que communauté centrée sur la confidentialité) avons largement conclu que la protection des utilisateurs contre les sites malveillants valait le risque encouru », a ajouté Green.
L’API de Tencent fonctionne-t-elle de la même manière que celle de Google ? Selon Green, Tencent n’est pas Google et l’entreprise chinoise peut bien fournir un service sûr, mais étant lié au gouvernement communiste chinois, il serait probablement très difficile pour les utilisateurs de lui faire confiance. « À tout le moins, les utilisateurs devraient être informés de ces changements avant qu'Apple ne mette la fonctionnalité en production et demande donc à des millions de leurs clients de leur faire confiance », a déclaré le professeur Matthew Green.
Plusieurs personnes pensent qu’Apple s’est illustré en peu de temps en allant à l’encontre de ses valeurs. Selon le professeur Green, on a l'impression qu'Apple est deux sociétés différentes : l'une qui fait passer la liberté de ses utilisateurs en premier (ailleurs dans le monde) et l'autre qui traite ses utilisateurs très différemment (en Chine continentale). Ce dernier se demande si Apple peut naviguer dans ce trouble de la double personnalité tout en conservant son intégrité.
Sources : The Register, Matthew Green
Et vous ?
:fleche: Quel est votre avis sur le sujet ?
Voir aussi
:fleche: Le navigateur Safari d'Apple envoie les adresses IP de certains utilisateurs à Tencent en Chine
:fleche: Tim Cook défend la décision de retirer l'application de Hong Kong Maps (HKmap Live) dans un mail adressé aux employés de la société
:fleche: Apple censure l'émoji du drapeau taïwanais pour les utilisateurs iOS de la ville de Hong-Kong, mais il y a toujours un moyen de l'utiliser
:fleche: Blizzard s'exprime sur le bannissement du joueur de Heartstone qui avait déclaré son soutien aux manifestants de Hong Kong et décide de lui remettre sa prime