Le développeur Felix Krause a mis le doigt sur une faiblesse qui permet à n’importe quel développeur d’avoir accès aux différents endroits où un utilisateur d’iPhone s’est rendu ces dernières années. Il suffit en fait d’obtenir l’autorisation d’accès aux photos, une permission qu’il est relativement aisé de décrocher : les utilisateurs sont nombreux à accepter le partage de photos lorsque la boîte d’alerte s’affiche sur leurs appareils.

Pour appuyer sa démonstration, Krause a développé une application “proof of concept” au nom explicite, DetectLocations, soumise à l’App Store et disponible depuis hier sur l’App Store. Après avoir demandé l’accès aux photos, l’application épingle sur une carte tous les endroits où des images ont été réalisées par l’utilisateur, accompagnées de la date des prises de vues — ces différents lieux et les dates afférentes peuvent permettre de retracer les habitudes d’une personne. En bonus, on peut également connaitre les itinéraires parcourus entre les lieux et obtenir des informations très précises sur les clichés.

Par croisement, de telles informations sont de nature à identifier le lieu de travail et l’adresse personnelle de l’utilisateur, mais aussi d’en savoir plus sur sa vie privée et les personnes fréquentées, en bref de connaitre les moindres mouvements, faits et gestes de quelqu’un. iOS autorise une application à exploiter l’ensemble des métadonnées des photos d’un propriétaire d’iPhone (localisation GPS, vitesse de la prise de vue, modèle d’iPhone, date et heure, etc.).

Pour éviter les mauvaises surprises, Felix Krause propose une solution : les apps devraient demander l’autorisation non seulement de sélectionner une photo (par exemple pour la téléverser sur un réseau social), mais également pour accéder à la pellicule photos (pour sauvegarder ses images sur Google Photos ou Dropbox). Le développeur, qui a mis le code source de l’application sur GitHub, a par ailleurs déposé un radar auprès d’Apple pour que le constructeur se saisisse du problème.