Une entreprise spécialisée en sécurité a tiré le signal d’alarme concernant une fonctionnalité présente sur les iPhone, en raison des soucis de confidentialité qu’elle pourrait causer dans le cadre d’une utilisation professionnelle. Apple n’a pas tardé à réagir.
Disponible depuis le déploiement d’iOS 18, la fonction iPhone Mirroring proposée par Apple sur l’iPhone permet d’interagir à distance avec le smartphone sous iOS depuis un Mac doté de macOS Sequoia. C’est une solution intéressante à plus d’un titre, notamment parce que l’iPhone reste verrouillé et donc les manipulations faites au sein de son interface restent discrètes.
Cependant, l’entreprise spécialisée dans la sécurité informatique Sevco a récemment estimé que l’utilisation de la fonction Recopie de l'iPhone dans un contexte professionnel impliquant un iPhone personnel et un Mac installé sur un lieu de travail représentait un risque non négligeable pour la confidentialité des données… Et voici pourquoi.
Des données privées accessibles par votre patron
Le problème vient du fonctionnement de Recopie : en effet, lorsque l’utilisateur ouvre une application de son iPhone depuis son Mac sur lequel cette fonction de mirroring est activée, cela enregistre des données liées à cette application sur l’ordinateur Apple. Ces petits bouts d’applications s’installent alors discrètement dans le dossier /Users/Library/Daemon Containers/Data/Library/Caches/ de macOS Sequoia.
Jusque-là, rien qui semble bien grave… Mais un nouveau problème : Sevco souligne que de nombreuses entreprises utilisent des outils de sécurité pour scanner les Mac de leurs employés, afin d’inventorier les programmes installés sur leurs machines. Et ces derniers peuvent donc récupérer les métadonnées contenues dans les fichiers des applications utilisées avec Recopie de l'iPhone.
En d’autres termes, des données personnelles appartenant aux employés peuvent être récupérées par les services informatiques de l’entreprise, et être consultées par les dirigeants, par exemple. « Cela pourrait inclure des informations sensibles, comme l’utilisation d’un VPN dans un pays où l’accès à Internet est restreint, l’installation d’une application de rencontre révélant l’orientation sexuelle dans une juridiction où les protections légales sont faibles ou inexistantes, ou encore une application liée à un problème de santé que l’employé préfère garder privé », explique notamment Sevco.
Un service encore inaccessible en France
Sevco a rapidement indiqué avoir informé Apple de cette découverte. La firme de Cupertino s’est immédiatement mise au développement d’un correctif, qui a été publié à la fin du mois d’octobre. Désormais, les données personnelles le restent, même dans le cadre de l’utilisation de l’iPhone Mirroring.
Il est d’ailleurs à noter que cette fonctionnalité n’est pas encore disponible en Europe : tout comme pour Apple Intelligence, l’entreprise américaine traîne les pieds, évoquant une réglementation trop stricte, notamment en ce qui concerne le Digital Markets Act, entré en vigueur en début d’année. Cependant, ce n’est peut-être pas plus mal pour Apple, car la faille présente au sein de sa fonctionnalité d’iPhone Mirroring aurait pu être considérée comme une violation du RGPD, et donc lui coûter cher. Maintenant que le problème est réparé, Apple pourrait donc avoir envie de proposer cette fonctionnalité aux Européens un jour prochain…