Pour retracer un utilisateur, il suffit d'obtenir l'autorisation d'accès à ses photos

Mickaël Bazoge |

Le développeur Felix Krause a mis le doigt sur une faiblesse qui permet à n’importe quel développeur d’avoir accès aux différents endroits où un utilisateur d’iPhone s’est rendu ces dernières années. Il suffit en fait d’obtenir l’autorisation d’accès aux photos, une permission qu’il est relativement aisé de décrocher : les utilisateurs sont nombreux à accepter le partage de photos lorsque la boîte d’alerte s’affiche sur leurs appareils.

Pour appuyer sa démonstration, Krause a développé une application “proof of concept” au nom explicite, DetectLocations, soumise à l’App Store et disponible depuis hier sur l’App Store. Après avoir demandé l’accès aux photos, l’application épingle sur une carte tous les endroits où des images ont été réalisées par l’utilisateur, accompagnées de la date des prises de vues — ces différents lieux et les dates afférentes peuvent permettre de retracer les habitudes d’une personne. En bonus, on peut également connaitre les itinéraires parcourus entre les lieux et obtenir des informations très précises sur les clichés.

Cliquer pour agrandir

Par croisement, de telles informations sont de nature à identifier le lieu de travail et l’adresse personnelle de l’utilisateur, mais aussi d’en savoir plus sur sa vie privée et les personnes fréquentées, en bref de connaitre les moindres mouvements, faits et gestes de quelqu’un. iOS autorise une application à exploiter l’ensemble des métadonnées des photos d’un propriétaire d’iPhone (localisation GPS, vitesse de la prise de vue, modèle d’iPhone, date et heure, etc.).

Pour éviter les mauvaises surprises, Felix Krause propose une solution : les apps devraient demander l’autorisation non seulement de sélectionner une photo (par exemple pour la téléverser sur un réseau social), mais également pour accéder à la pellicule photos (pour sauvegarder ses images sur Google Photos ou Dropbox). Le développeur, qui a mis le code source de l’application sur GitHub, a par ailleurs déposé un radar auprès d’Apple pour que le constructeur se saisisse du problème.


avatar frankm | 

Il fallait attendre tout ce temps pour savoir ça ?

avatar pao2 | 

Et lorsqu'on place une photo sur notre mur Facebook, Facebook supprime les méta-données. Et forcément ne garde pas pour ses propres "besoins" les géolocalisations quelle contenait :-) :-) :-)

avatar je-deteste-android- | 

@pao2

????

avatar whocancatchme | 

@pao2

Lolilol

avatar ragmaxone | 

Il y a certaines app qui affichent la pellicule au lieu de charger toutes les photos, il suffirait de généraliser ce mode de d'accès et pour les app qui en ont vraiment besoin un accès complet.

avatar Ali Baba | 

Impressionnante son app !

avatar occam | 

@Ali Baba

Felix vient juste de la mettre à jour, ça vaut le coup.

avatar frankm | 

Il faut une option dans Photos qui autorise l’accès à plusieurs niveaux : accès total, accès sans les info dates et localisation, accès au dernier mois etc.

avatar belrock | 

@frankm

You nailed it!

D’une approche photographique, il faut traiter l’image au niveau meta en traitant les droits d’auteur avant d’exporter dans des formats suivant les plateformes de distribution. ( je fais court mais les initiés comprendront).

C’est le pain quotidien des photographes, les logiciels d’édition comportent pour la plupart ces possibilités, mais l’utilisateur « lambda » les ignore totalement.

Aux éditeurs de logiciel de proposer une approche simple et transparente telle que tu la décris, par palier!

Il faut sensibiliser les preneurs de clichés à la maîtrise de leurs œuvres! Ce n’est pas gagné.
Non seulement qu’ils se battent depuis plus d’un siècle à essayer de protéger leur travail, le digital qui s’en mêle et mets du coup les choses (faits et gestes) encore plus à nu au profit de sociétés qui n’ont aucun scrupule à exploiter l’ignorance du « bas peuple ».

Triste société ou perversion digitale d’une génération en devenir où tout est permis....

L’état demande bien à remplir votre déclaration d’impôts par internet alors que pleins de gens n’en ont pas la possibilité....encore; conflit de génération. Durée annoncée: 25 ans

La transformation digitale est encore (trop)un ÉNORME nomansland sans ( assez) de règles; un champ de guerre pour l’information qui profite à certains pour l’ignorance des autres: an indefinite playground.

avatar rabbx | 

Ou alors empecher l’appareil photo de nous geolocaliser (ce que j’ai) et l’app n’affiche rien.

avatar pao2 | 

Sauf que c'est vraiment pratique de pouvoir rechercher ses photos classées par lieu.

avatar hugome | 

C'est pas nouveau, Facebook et Twitter font ça depuis toujours.

avatar jb18v | 

Bof je laisse jamais le GPS quand je prends des photos, pas sûr que ça trouve grand chose ..

avatar andr3 | 

A mon avis, ce n'est pas propre à Apple. Toutes les photos ont des métadonnées et les coordonnées GPS en sont.

Hormis le fait d'une attente potentielle par découverte du lieu de résidence et de travail, je trouve intéressant de pouvoir épingler mes photos sur une carte, surtout celles prises en citytrip par exemple.

avatar frankm | 

@andr3

D’après vous, pourquoi Google Photo est gratuit ?

avatar Rez2a | 

Le problème n’est pas tant le fait que les metadonnées de localisation soient lisibles, mais plutôt le fait que la permission est du « tout ou rien » ; soit l’appli accède à l’intégralité des photos, soit on ne peut pas utiliser une seule photo qui vient de la bibliothèque.

Il manque une permission intermédiaire.
Je comprends que certaines applis utilisent toute la bibliothèque, mais toutes n’en ont pas besoin, loin de là.

J’aime pas trop le fait que Facebook puisse voir toute ma pellicule et affiche mes dernières photos dans l’appli pour que je puisse les partager.
Par contre j’ai besoin de pouvoir lui dire « j’ai juste envie de publier cette photo qui vient de ma pellicule et t’auras juste le droit d’accéder à cette photo ».

avatar zoubi2 | 

@Rez2a

+1

avatar LoossSS | 

Moi je le fais d'une manière détournée, mes photos sont toutes sur Google Photos (alors on est d'accord c'est pas mieux mais l'exemple marche aussi si vous avez une autre solution de backup plus personnelle comme un NAS par exemple).
Une fois mes photos sauvegardées, elles sont tout le temps supprimées du téléphone. Du coup les applications qui ont accès à ma pellicule photo n'ont absolument rien...
Et si je veux qu'une appli ait accès à une photo, je la télécharge depuis Google Photos vers le téléphone juste pour quand j'en ai besoin.

avatar r e m y | 

@LoossSS

Google Photo qui est capable de retrouver le lieu de prise de vue, même sans donnees GPS, en comparant la photo avec les milliards de photos de sa base de données.

avatar LoossSS | 

Personnellement je trouve ça super. Comme quoi...
Et ils ne le font pas que comme ça. Google sait où je suis grâce à mon téléphone. Du coup les photos prisent avec un reflex qui n'a pas de GPS sont aussi localisées en faisant une comparaison entre la date de prise de vue et l'emplacement du téléphone à ce moment-là et en faisant une supposition que le propriétaire a son téléphone sur lui quand il prend la photo.

avatar frankm | 

@LoossSS

N’importe quoi Google photo vous baise 100% de vos informations personnelles et bien profondément

avatar LoossSS | 

C'est déprimant à quel point les gens sur Internet ne savent que s'emporter, ne pas mesurer leur propos ou réfléchir plus d'une demi seconde...
Est-ce que j'ai dit que Google était une bonne solution ? Non. J'ai même dit que le mieux était un NAS personnel. Donc calmez vous prenez une tisane ça va bien se passer.

Google prend tes infos personnelles. Tu le sais c'est le contrat. Tu l'acceptes ou non. Je préfère ça plutôt que 200 applis d'éditeurs inconnues qui utilisent mes données. Google tu sais à peu près à quoi t'attendre

avatar pat3 | 

@Rez2a

"Il manque une permission intermédiaire.
Je comprends que certaines applis utilisent toute la bibliothèque, mais toutes n’en ont pas besoin, loin de là.

J’aime pas trop le fait que Facebook puisse voir toute ma pellicule et affiche mes dernières photos dans l’appli pour que je puisse les partager. "

Moi non plus, mais j’ai pas Facebook :-)

avatar supermars | 

@Rez2a

D'accord !

avatar colossus928 | 

Il faut deux autorisations distinctes :
- accès aux photos
- puis au moment du téléversement (tiens ce mots n'existe pas au dictionnaire), une autorisation d'accès au métadonnées pour les photos sélectionnées.

avatar r e m y | 

@colossus928

Concrètement, les metadonnees etant inscrites DANS le fichier, je ne vois pas comment on pourrait donner accès au fichier, sans donner accès aux métadonnées... il faudrait modifier la structure d'un fichier jpeg pour introduire des notions de droits d'accès sur certaines parties du fichier.

avatar iDanny | 

@r e m y

Les apps ne peuvent pas lire les metadonnées directement dans les fichiers au niveau binaire, mais elles passent par des API d’iOS, et c’est ces API qu’il faudrait modifier pour pouvoir distinguer les droits sur la lecture complète et sur la lecture sans metadonnées (ou avec des metadonnées limitées).

avatar ssssteffff | 

@iDanny

Depuis quand faut-il passer par l'API iOS pour lire les métadonnées Exif ?

avatar colossus928 | 

@r e m y

Apple pourrait les effacer des photos avant partage ?

avatar zoubi2 | 

Au vu de la carte, je crois pouvoir conclure que Mickaël a une passion coupable : les rillettes.

avatar pommedor | 

Une aubaine pour les agences de renseignement ce genre de comportement par défaut de l'OS. On se demande bien pourquoi c'est autorisé. :)

avatar 7X | 

Une aubaine surtout pour les régies de pub. Des usurpateurs d'identité et autres maitres-chanteurs pourraient aussi en profiter.

avatar marenostrum | 

@pommedor
C’est toi qui autorise, rien passe sans ta permission. Donc à toi de choisir accès total ou rien du tout.

avatar Domsware | 

Détail amusant : ce développeur bosse chez Google.

CONNEXION UTILISATEUR