Apple révoque le certificat d'entreprise d'une app controversée de reconnaissance faciale

Mickaël Bazoge |

La start-up Clearview AI, spécialisée dans les technologies de reconnaissance faciale, s'est vue retirer son certificat d'entreprise par Apple. L'application distribuée par la jeune pousse à ses clients nécessitait en effet l'installation d'un profil spécifique en lien avec le programme de développement pour les entreprises d'Apple. Or, le constructeur n'autorise cette manipulation que pour les applications destinées à un usage interne, pas pour l'installation par des tiers qui ne font pas partie de l'entreprise.

Démonstration de la technologie Clearview : l'app numérise la photo de la personne à rechercher…
… une correspondance a été trouvée…
… bim, c'est bien la même photo postée sur Instagram. @Amanpour & Co.

L'app Clearview ne peut donc plus être installée nulle part, coupant ainsi l'herbe sous le pied de la start-up qui s'était constituée un joli fichier clientèle : plus de 2 200 organismes publics et privés, incluant les services d'immigration américains, le FBI, Walmart, les grands magasins Macy's ou encore la NBA.

La technologie développée par Clearview AI faisait des vagues depuis son lancement le mois dernier : après avoir numérisé la photo d'une personne, l'application va la comparer avec une énorme base de données de plus de 3 milliards d'images siphonnées sur les réseaux sociaux et des sites en accès libre.

Clearview AI assurait que sa technologie ne se destinait qu'aux forces de l'ordre, pour les aider à mettre la main au collet d'un suspect… mais cette app s'est rapidement retrouvée dans les smartphones d'entreprises privées, comme l'a révélé BuzzFeed News. C'est d'ailleurs suite à cette enquête qu'Apple a révoqué le certificat d'entreprise de la start-up.

Le mode d'emploi pour installer l'app Clearview, dénichée sur un serveur Amazon S3 par TechCrunch.

Cette histoire rappelle ce qui s'était passé en début d'année dernière, quand Apple a décidé de révoquer les certificats d'entreprise de Facebook et de Google, pour les mêmes raisons : les deux éditeurs avaient distribué des apps auprès du grand public par le biais de ce système (lire : Facebook : Apple a déjà utilisé l'arme de la révocation de certificat mais jamais aussi fort).

avatar Dev | 

Mais c’est trop bien, dommage que l’on ne puisse l’utiliser 😕

avatar MarcMame | 

@Dev

" c’est trop bien, dommage que l’on ne puisse l’utiliser"

————

Xi Jinping, on t’a reconnu !

avatar Dev | 

@MarcMame

🤣🤣🤫

avatar reborn | 

L'app Clearview ne peut donc plus être installée nulle part

Ça n’était dispo que sous iOS ?

avatar Mickaël Bazoge | 
Je crois qu'elle est aussi dispo sur Android, mais comme pour iOS, pas sur la boutique.
avatar Xalio | 

La capture du site Amazon mentionne le fait que c’est une bêta. Apple n’autorise pas la publication de Bêta de cette manière largement.

Les certificats développeurs sont à destination des employés ou pour des cas de vente directe.

Il y a très certainement eu un abus sur ce sujet et vu qu’Apple resserre la vis avec le déploiement du programme « custom apps »... ce type de cas vont se multiplier

avatar fousfous | 

@Xalio

En fait les certificats entreprise permet quand même d'accéder a pas mal de données de l'iPhone, il est donc facile pour une boîte de proposer pas chère une application intéressante pour avoir accès à ces données.

avatar Xalio | 

@fousfous

Pas vraiment :-)
C’est surtout que le certificat d’entreprise permet d’utiliser des API privées sans qu’Apple ne le sache et donc de passer sous les radars.
Le certificat lui même ne permet que de gérer la validation de l’installation de l’app grossi modo.

avatar fousfous | 

@Xalio

T'es sûre que le certificat ne permet pas d'accéder à pleins de données? Il me semblait avoir vu un article ici sur l'inquiétude à avoir pour ses données avec un appareil Apple Pro.

avatar Xalio | 

@fousfous

C’est mon boulot ;-)
Oui je suis sûr.

avatar dodomu | 

@Xalio

On peut donc dire que ce genre de certificat sert, de façon officielle, à contourner la distribution via l’AppStore (et donc sa validation), mais au prix d’un usage limité à l’interne d’une entreprise, et sous la tutelle d’Apple (qui est seule habilitée à générer de tel certificat, gardant ainsi l’emprise sur la distribution des app iOS, tant sur l’AppStore pour le grand public, que dans le milieu professionnel, même si elle est plus souple dans ce dernier cas) ?🤔

avatar Xalio | 

@dodomu

C’est ça... mais les règles se durcissent et peu à peu Apple pousse les entreprises vers ce qui était avant appelé B2B store (maintenant appelé « custom apps »)

avatar dodomu | 

@Xalio

Ce dernier programme m’as l’air plus souple que le certificat d’entreprise (de ce que j’en comprend au premier coup d’œil, j’avoue avoir un peu la flemme de regarder dans le détail vu l’heure 😛)

avatar Xalio | 

@dodomu

Il l’est et pour cause Apple cherche à arrêter les certificats d’entreprise qui sont source de beaucoup de débordements / abus qui mettent en peril la sécurité de l’OS!

avatar mouahahaha | 

C'est apple qui met en péreil la sécurité de l'OS...

Bientôt les entreprises vont devoir utiliser des iphones jailbreakés pour tester leur propres applications...

avatar Xalio | 

@dodomu

Encore faut-il accepter stocker les binaires son application chez Apple... pas gagné pour les gouvernements et autres banques.

avatar dodomu | 

@Xalio

Ce n’est pas le cas avec les certificats d’entreprise ? Dans tout les cas stocker le binaire ne devrait pas être trop problématique, tant qu’il ne contient pas d’infos sensibles... et je viens de me rendre compte que je me suis répondu tout seul en écrivant mon raisonnement 😅
En tout cas merci pour ces infos, c’est toujours intéressant d’avoir des infos sur le côté B2B par rapport au côté B2C plus exposé 😊

avatar Xalio | 

@dodomu

Effectivement non, les apps « in-house » (signees par le certificat d’entreprise) peuvent être hébergés par les entreprises elles mêmes (dans les cas classiques sur un serveur MDM de l’entreprise).

Le problème est que certains ont des mauvaises pratiques de développement qui font que les binaires sont à risque (exemple: stocker des clés privées dans le code en dur... malheureusement trop souvent...!)

Un plaisir de partager! 👌😉

avatar marenostrum | 

la reconnaissance faciale est merdique sur Photos déjà. comment ça peut être fiable sur des milliards de photos ? j'ai une photothèque de 150 000 photos et ce n'est pas fiable du tout. ce genre de truc a besoin de personnel derrière. les logiciels sont nuls. la même nana avec ou sans maquillage change carrément de visage. même nous on doit faire effort la reconnaitre, et pas le logiciel qui lui manque les yeux.

avatar Sindanárië | 

@marenostrum

Tu va déclencher les huées 😬:
1- nan cépôvré apple c les meilleurs o monde t’es kun traite a la cose
2- c naurmal Apple vent tré chaire deula mairdre t kun fanboy drogé é conrrompu

avatar SyMich | 

Ils ont constitué une base de données en puisant sur les réseaux sociaux ou les photos de presse, toutes les photos disponibles avec identification des personnes sur la photo par ceux-la meme qui les y ont mises.
Il y a encore quelques semaines il y avait une version de test sur leur site. On envoyait une photo de soi et en retour on avait des infos assez précises sur son lieu d'habitation probable, et sur ses déplacements au cours des 12 derniers mois.
J'avais testé et c'était assez flippant de voir ce que cette société pouvait trouver sur moi...
(J'avais aussi essayé avec une photo d'une artiste, mais j'avais eu un refus de traiter cette photo)

avatar powerjaja | 

Big brother est vraiment tout proche

avatar marenostrum | 

sauf que c'est pas linéaire l'évolution (ni l'histoire). y aura une crise (parce que tout est basé sur l'argent en plus. c'est l'argent qui pousse notre société à inventer et produire. bref si y a plus d'argent y aura plus rien) avant que ça soit au point tout ça. et l'éternel recommencement.

avatar thierry37 | 

Pourquoi un tel service nécessite une app ?

Ça peut pas marcher par une page web, sur laquelle tu charges ta photo.
On te fait voir les premiers résultats et tu paies pour la suite.

Derrière c’est la même base de données, les mêmes outils de reconnaissance, qui tournent sûrement sur les serveurs. Et pas sur l’app en question.
Non?

avatar SyMich | 

La démo existait sur leur page Web il y a encore quelques semaines (avant que ne commence la polémique sur la constitution de cette mega base de données nominative de visages, louées à qui le veut bien...)
J'avais testé c'était étonnant et ... flippant, tout ce qu'ils avaient pu retrouver de moi et de mes déplacements depuis 12 mois. (Nom, prenom, adresse approximative, lieux dans lesquels j'avais été photographiée ou filmée... ainsi qu'une liste de 20 personnes proches avec un nombre donnant le niveau probable de proximité avec moi)

avatar Ginger bread | 

Blacklisté d Apple

avatar MarcMame | 

@Ginger bread

"Blacklisté d Apple"

Et ?

CONNEXION UTILISATEUR