Avoir après révélé qu’Apple suivait à la trace ses utilisateurs dans certaines de ses applications alors que l’entreprise indiquait le contraire, deux chercheurs en cybersécurité viennent de démontrer qu’iCloud n’était pas aussi anonyme que le clamait initialement l’entreprise.
Si Apple se présente depuis plusieurs années comme le garant de la vie privée des utilisateurs de ses produits, depuis plusieurs semaines, cette réputation est en train de s’effriter. De nombreuses révélations ébranlent l’entreprise : on les doit à Tommy Mysk et Talal Haj Bakry, deux chercheurs en cybersécurité qui ont mis un point d’honneur à démontrer qu’Apple n’est pas l’ange gardien qu’il prétend être.
Ainsi, au début du mois de novembre, les deux compères ont révélé qu’ Apple récupérait des données depuis certaines de ses applications maison comme App Store, Apple Music ou encore Apple TV, et ce même si l’utilisateur de l’appareil avait désactivé le paramètre « Analytics » censé couper court à tout envoi de données. Une découverte qui a entraîné des poursuites judiciaires à l’encontre de l’entreprise aux États-Unis. Qu’en sera-t-il avec ces nouvelles rélévations ?
iCloud n’est pas aussi anonyme qu’Apple le prétend
Sur son site, Apple indique que si « Phone Analytics peut inclure des détails sur les spécifications du matériel et du système d’exploitation, des statistiques de performance et des données sur la façon dont vous utilisez vos appareils et applications », la plateforme ne collecte cependant aucune donnée permettant d’identifier clairement le propriétaire du compte en question. Même lorsque l’utilisateur accepte sciemment de transmettre des informations à Apple à des fins d’analyses, l’entreprise continue d’affirmer qu’un chiffrage permet d’anonymiser le tout.
C’est là qu’arrivent les nouvelles découvertes de Tommy Mysk et Talal Haj Bakry. Ils ont mis le doigt sur un petit fichier nommé « DSID », pour « Directory Services Identifier ». « Cet ID est unique pour chaque compte iCloud », expliquent-ils sur Twitter.
🚨 New Findings:
— Mysk 🇨🇦🇩🇪 (@mysk_co) November 21, 2022
🧵 1/6
Apple’s analytics data include an ID called “dsId”. We were able to verify that “dsId” is the “Directory Services Identifier”, an ID that uniquely identifies an iCloud account. Meaning, Apple’s analytics can personally identify you 👇 pic.twitter.com/3DSUFwX3nV
« Cela signifie qu’Apple peut personnellement vous identifier », résument les experts en sécurité. « Apple utilise DSID pour identifier de manière unique les comptes Apple ID. Le DSID est associé à votre nom, votre adresse e-mail et toutes les données de votre compte iCloud. » Preuves à l’appui, Mysk et Bakry démontrent que la firme de Cupertino ne joue pas totalement le jeu au sujet de l’anonymat des données d'analyses récupérées via iCloud.
3/6
— Mysk 🇨🇦🇩🇪 (@mysk_co) November 21, 2022
Apple uses DSID to uniquely identify Apple ID accounts. DSID is associated with your name, email, and any data in your iCloud account. This is a screenshot of an API call to iCloud, and DSID it can be clearly seen alongside a user's personal data: pic.twitter.com/x59lr0AzWf
Dans leurs explications, les experts en sécurité indiquent que les données sont envoyées quoi qu'il arrive, même lorsque l'utilisateur désactive l'analyse de son appareil au sein de ses paramètres. Comme iCloud est le point névralgique d'un compte Apple, le DSID concerne aussi d'autres applications, comme l'Apple Store. Mysk déclare alors :
« Vous avez besoin de savoir trois choses :
L’Apple Store envoie des analyses détaillées sur vous à Apple, Il n’y a aucun moyen d’arrêter ça, Les données Analytics vous sont directement associées »''
Voilà qui ne devrait pas faire plaisir aux personnes qui ont déjà été déçues des dernières pratiques d'Apple en matière d'anonymat de collecte des données. Cependant comme le souligne le site The Verge, Apple affiche des conditions d'utilisations différentes pour certaines de ses applications : c'est notamment le cas de l'Apple Store, mais aussi d'Apple News et de Stocks, qui sont des services qui affichent de la publicité. Dans ce contexte, Apple indique clairement qu'il collecte des données personnelles à des fins de ciblage publicitaire. Cela permet de nuancer un peu le propos, même si, dans les faits, Apple a davantage tendance a mettre en avant la protection de la vie privée de ses consommateurs dans ses propres publicités, que la collecte de données qui est faite en toile de fond au sein de ses services.
Vers un autre problème étrange pour iCloud
Ces révélations ne sont pas les seules qui entachent, cette semaine, la réputation d’iCloud. En effet, ce lundi, des utilisateurs ont constaté qu’ils avaient accès aux photos et aux vidéos d’autres personnes sur la plateforme de stockage, au moment d’utiliser l’application iCloud pour Windows. Le phénomène, remonté par MacRumors, concernerait un très grand nombre de personnes.
Cela met une nouvelle fois en cause la manière dont Apple gère la vie privée des utilisateurs de ses services. Non seulement l’entreprise américaine semble capable d’associer des data récupérées à des fins d’analyses avec les comptes des personnes concernées, mais en plus elle aurait visiblement du mal à garder leurs photos et leurs vidéos privées. Pour l’heure, Apple n’a pas réagi à ces deux situations.