Certains développeurs ont trouvé comment contourner le système anti-traçage d'Apple
iOS 14.5 a introduit un changement de taille pour les développeurs, qui doivent désormais demander à l'utilisateur s'il souhaite que son activité soit suivie. Des données précieuses pour les régies publicitaires, qui peuvent ainsi cibler finement leurs réclames.
L'utilisateur se voit proposer deux options : Demander à l'app de ne pas me suivre et Autoriser. Si la deuxième option n'appelle pas de commentaires particuliers (l'utilisateur autorise le suivi de l'app en lui fournissant son identifiant unique IDFA), la première doit être prise en compte par le développeur, au risque de voir Apple supprimer son application de l'App Store. Ça, c'est la théorie. En pratique, les choses sont un peu différentes.
iOS 14 s'attaque au pistage de l'utilisateur par la pub dans les apps
Plusieurs apps très prisées de l'App Store, comme le jeu Subway Surfer, affichent bien la fenêtre d'autorisation du suivi (elles y sont obligées). Mais elles ne respectent pas la volonté de l'utilisateur qui ne veut pas du suivi, nous apprend le Washington Post. La publication révèle que le jeu envoie plusieurs éléments qui composent une empreinte numérique (fingerprinting), des données permettant à la régie publicitaire Chartboost d'identifier l'utilisateur.
Cette empreinte numérique peut contenir des informations comme le nom de l'iPhone, la définition de l'écran, la zone géographique, la version d'iOS, le niveau de la batterie, la langue, etc. Des informations anodines prises à part, mais qui ensemble peuvent servir à identifier un iPhone. Le Washington Post explique que le jeu Subway Surfer peut communiquer 29 éléments de ce type à un tiers. À ce compte, plus besoin d'IDFA !
Subway Surfer n'est pas la seule application à agir de la sorte. Les chercheurs en sécurité de Lockdown ont pu en tester plusieurs et leur conclusion est que le refus explicite du suivi ne change pas grand chose : ils ont simplement observé une diminution de 13% des tentatives d'envois de données à des tiers.
Par ailleurs, seuls les développeurs savent ce qui est fait des données, l'utilisateur est complètement laissé dans le noir : servent-elles à des fins de traçage ? Ils assurent qu'il s'agit d'informations techniques pour améliorer leurs apps, mais il y a tout lieu de douter de leur parole puisqu'ils ne respectent pas les directives d'Apple.
Pour Johnny Lin, cofondateur de Lockdown et ancien ingénieur d'Apple ayant travaillé sur iCloud, le constructeur devrait faire preuve de plus de clarté : « Lorsqu'il s'agit d'arrêter les trackers tiers, App Tracking Transparency [la technologie d'Apple] est un échec. Pire encore, le fait de proposer aux utilisateurs la possibilité d'appuyer sur un bouton "Demander à l'app de ne pas me suivre" peut même leur donner un faux sentiment de confidentialité ».
Certaines entreprises spécialisées dans la publicité sont donc en train de développer ce système alternatif en attendant une prise de position officielle de la part d'Apple. Deux d'entre elles, AppsFlyer et Kochava proposent même à leurs clients un mode activable en un clic permettant de contourner les nouvelles contraintes d'iOS 14.5.
Du côté d'Apple, la réponse est plutôt molle : contactée par le journal il y a plusieurs semaines, la Pomme a expliqué vouloir contacter les éditeurs concernés, sans que rien ne soit mis en œuvre pour l'instant. Il faut dire que Subway Surfer est listé par l'App Store comme un jeu à essayer absolument…
Je ne pense qu'on ne s'en rend pas compte, mais la collecte de donnée doit vraiment être une mine d'or pour les développeurs, pour aller jusqu'au point de contourner les sécurités...
Nos données valent + d'argent que nous... C'est triste...
Notre vie digitale > notre vie réelle... Quelle misère
@Cro_Arthur
C’est le modèle économique, « payé par les pubs » qui est à revoir… leur dépendance à ces dernières est si forte qu’il en est vital
@Liena1
Sauf que Apple en a profitez si il y avait pas eu autant d’applications gratuites grâce à la pub Apple ne pourrai pas se venter d’avoir autant d’applications sur son store, je trouve que c’est cracher dans la soupe maintenant que Apple à la main mise et profite de sa position pour le coup.
@Insomnia
Les apps aussi on su profiter de la notoriété de l'App Store et parfois d'y construire une entreprise grâce à cette dernière, et d'y gagner des sous. C'est donnant donnant
@victoireviclaux
Certes mais c’est Apple qui en a profitez sans vergogne et qui maintenant ayant le dessus sur les devs et en profite 😁
@Cro_Arthur
Il serait plus simple que le législateur impose que la collecte de ces données doivent être achetées directement au possesseur !
Une application, un site, une régie publicitaire, un développeur veux mes données ?
Ok…
mais tu me fait un joli chèque, virement, etc ! .
Il n’y a pas de raisons que l’on ne profite pas de ce système nous aussi !
Ok…
mais tu me fait un joli chèque, virement, etc ! .
Il n’y a pas de raisons que l’on ne profite pas de ce système nous aussi !
Et du coup pour visiter le site ou utiliser l'application il te faudra payer (et donc rendre le chèque).
@bibi81
Et ?
Et ce que tu proposes ne sert à rien.
Pas sérieux. On s’attendrait à ce que Apple révoque en urgence les certificats des ces éditeurs…
@Phiphi
le soucis c qu'à ce compte il faudrait surement virer pas mal d'app. Le plus simple c'est de trouver comment empêcher le contournement. en general il pourrait suffire de bloquer plusieurs fuites et d'interdire les seules échappatoires, et donc de surveiller uniquement celles-là.
bon, au fond ce sera un jeu de chat et de souris, on imagine meme qu'on aura une rapprochement entre les boites qui achètent des failles et les dev pour la publicité (sans doute deja fait d'ailleurs)
@raoolito
"à ce compte il faudrait surement virer pas mal d'app"
Ben oui…
Mais comme il y a non respect des clauses contractuelles on les a connus plus « mulets » !
@Phiphi
voui 😁
@Phiphi
Oui je suis un peu surpris
Apple dit on bloque tout mais finalement ça bloque rien et Apple fait la moue ?
Je suis déçu !
@Phiphi
Le problème vient surtout du texte écrit dans la boîte de dialogue qui apparaît au lancement des apps : « Demander à l’app de ne pas me suivre »… 😳
Apple a écrit cela comme une simple demande, et un éditeur peut donc lire entre les lignes qu’une simple demande peut-être refuser… et l’utilisateur n’est alors ni averti que sa demande a été refusée, ni des données que son appareil envoie à l’app en question.
Mon avis c’est qu’Apple n’a pas été assez loin dans cette soit-disant « protection ». Comme le dit l’article, ce jeu est recommandé par l’App Store, mais Apple est au courant de ses mauvaises pratiques depuis « des semaines ».
Si Apple tient vraiment à ce slogan « Privacy », qu’ils le mettent à exécution pour de bon : virer les apps et fermer les comptes développeurs de ces apps.
Mais il y’a du fric à la clé pour Apple, qui prélève un pourcentage sur les ventes d’apps et sur leurs achats intégrés, et aussi j’imagine beaucoup de boulot pour trouver les apps qui évitent ce système…
Et vu qu’Apple a également revu sa position, dans iOS 15, sur la fonction d’enregistrement du suivi des apps (à la présentation d’iOS 15, c’était super clair pour n’importe quel utilisateur), mais maintenant, tu dois télécharger une app qui lit les fichiers .json pour tenter de comprendre quelque chose. Et ça, je pense que seuls les « power users » savent le faire. MacG a fait un article sur une app qui permet de reprendre le concept d’origine d’Apple.
Je pense donc qu’Apple s’est tirée une balle dans le pied avec tout ça, et ils ne savent plus comment gérer maintenant : mieux vaut se mettre à dos quelques power users que les milliards d’utilisateurs « lambdas » qui n’y comprennent rien, et refaire copain-copain avec les éditeurs et les annonceurs pour continuer à encaisser la monnaie.
@Phiphi
Tout à fait d’accord
Pareil pour le relay privé d’iOS 15, il est facile de récupérer l’ip.
Démo :
https://fingerprintjs.com/blog/ios15-icloud-private-relay-vulnerability/
@moua
"Pareil pour le relay privé d’iOS 15, il est facile de récupérer l’ip."
Fixé sur la beta se Monterey et sans doute sur le premier patch d’iOS 15 😎
@moua
C'est quoi de bordel 😳 c'est moi ou ces nouvelles fonctions de iOS 15 c'est du bullshit ? 😡
Je pose ça là https://www.lebigdata.fr/apple-donnees-tencent
@quentinf33
Exactement ! Surtout qu’on pourrait le vérifier avec l’app « Privacy Insights » que MacG a présenté cette semaine. Cette app remplace la fonction de suivi des apps qu’Apple devait introduire dans iOS 15, et qui n’est finalement qu’une blague en l’état.
@quentinf33
Ils ont enlevé les captures d’écran de la fonction sur leur page de présentation d’iOS 15, et remplacées par des images de Safari et de ses mesures anti tracking…
Et la beta d’iOS 15.1 ne change absolument rien à la fonction : tu dois toujours exporter un fichier json (et la grande majorité des utilisateurs ne va pas comprendre comment exploiter ce fichier).
D’ailleurs, l’app Privacy Insights a déjà reçu une mise à jour pour la rendre encore plus simple et claire à utiliser. Tout est bien détaillé maintenant, à la manière de ce qu’Apple avait montré lors de la présentation d’iOS 15.
Ce n’est que mon avis, mais je ne crois pas que ça revienne tout de suite…..
@Travis_Scott
Merci de tirer la chasse d’eau stp après ta pêche
@Travis_Scott
"Je pose ça là"
L’expression est bien choisie, comme on pose un renard ou un étron 😂
Informations douteuses et datée, ça fait beaucoup quand même.
Si tu veux coller plus à l’actualité regarde les rapports de Tecent et du gouvernement Chinois sur la collecte de données 😎
C'est moche de résumer ca aux développeurs. Sauf dev indépendant, la demande vient souvent du marketing qui cherche coûte que coute à collecter de la date et vendre ses emplacements de pubs... Les devs n'ont parfois pas forcément le choix que d'implémenter...
@eMxPi
Oui surtout qu’en tant que dev, c’est toujours plus de boulot qui ne sont pas des features et sources de bugs. Quand in dev fait du logging ou autre, en général c’est plus pour comprendre pourquoi une requête a planté.
exactement,
mais faut vendre de la pub et se battre pour son intégrité
@eMxPi
On essaye, on essaye 😅 Avec ce genre d’histoires c’est difficile de communiquer sur le sujet. J’ai eu beaucoup de mal à ce que ma boîte accepté de communiquer un chouïa plus alors qu’on fait absolument rien. Mais le possible backfire est trop important.
@MickaelBazoge
moi je dis LA MORT PAR TORTURE À LA PETITE CUILLÈRE ROUILLÉE POUR TOUS LES DEVS SUR TERRE !!!
@raoolito
"moi je dis LA MORT PAR TORTURE À LA PETITE CUILLÈRE ROUILLÉE POUR TOUS LES DEVS SUR TERRE !!!"
Put…
Mais t’es vraiment pénible !
Quand tu balances des trucs comme ça… ça m’excite !
Ça suffit !
😬😈
C'est dommage tout de même, bien souvent les apps pleines de pubs et de tracking sont faites par des grosses structures (ces outils sont poussés par le marketing) les devs ont peu de poids face à l'entreprise
Si vous regardez la doc et la FAQ, créer son propre moyen d'identifier uniquement un utilisateur est interdit. Le soucis c'est qu'il faut également regarder précisement les guidelines de validation, ce que personne ne fait : "Unless otherwise permitted by law, you may not use, transmit, or share someone’s personal data without first obtaining their permission. You must provide access to information about how and where the data will be used."
En l'état, ce procédé est clairement en désaccord avec les guidelines et ces apps devraient être éjectées...
@MickaelBazoge
"mais il suffit de quelques moutons noirs"
C’est plutôt élégant comme approche du beau boulot quand même face aux entraves unilatérales imposées par Apple 😁
Blague à part la légitimité de la démarche est une question de point de vue et nombreux ici reprochent à Apple sa main mise sur son écosystème.
@YetOneOtherGit
« Blague à part la légitimité de la démarche est une question de point de vue et nombreux ici reprochent à Apple sa main mise sur son écosystème. »
Complètement.
Après, il faut être cohérent et assumer qu’avec moins de mainmise d’App’e sur cet écosystème, on risque d’être plus suivi.
Moi, j’ai lâché prise et je dois avouer que je ne fais plus très attention à ces histoires de tracking publicitaire.
Probablement que mes représentations sont fausses, mais j’ai la sensation en tant que consommateur que le combat est perdu. Si je suis pas tracé par l’un, ce sera par l’autre, si c’est pas par une méthode, ce sera par une autre. Sauf moratoire improbable sur le sujet, cette course aux armement me paraît difficile à stopper.
Et en tant que professionnel, si j’avais quelque chose à vendre, je serais le premier à me lancer dans cette course :D
@Bigdidou
"Probablement que mes représentations sont fausses, mais j’ai la sensation en tant que consommateur que le combat est perdu."
C’est un peu comme la guerre contre la drogue. 😄
Blague à part on va sur ces enjeux vivre des cycles de mesures et de contre-mesures.
Et il y a temps d’approches sophistiquées pour faire un profil précis de chaque individus …
c’est effectivement peut-être une guerre qui tient plus de l’argumentation marketing que de l’efficacité réelle.
Apple adresse un besoin où ils peuvent en terme de com et de marketing se différencier du principal concurrent sur les smartphone, mais en terme d’efficacité réelle à moyen terme…
@eMxPi
"C'est moche de résumer ca aux développeurs."
Oui c’est oublier les youtubeurs par exemple.
@eMxPi
"C'est moche de résumer ca aux développeurs."
C’est un abus de langage par métonymie assez courant de nos jours, développeur ici défini la structure à l’origine de l’application pas les ressources en charge du développement.
Après c’est un challenge technique et intellectuelle très prisé par les bons tech de chercher le moyen de contourner des entraves, c’est même un classique voir une épreuve de passage initiatique. 😎
Opposer les « gentils » développeurs aux « méchants » marqueteux comme tu sembles le faire et assez caricaturale 😉
Je vous avais signalé au moment de la mise en place de ce dispositif par Apple qu'il était déjà contourné avant même d'être officiellement mis en œuvre.
Et ces contournements respectent strictement les consignes d'Apple qui impose l'affichage de la boîte de dialogue mais n'interdit pas le suivi ! Ce que dit Apple c'est que si l'utilisateur fait le choix de demander à ne pas être suivi, le suivi reste autorisé mais sans utiliser l'IDFA. Ces procédés tels que développés suivent à la lettre ces consignes.
Apple n'a jamais cherché à interdire le tracking (ils ont même mis à disposition un nouveau framework destiné au tracking publicitaire). Ils ont juste voulu "tuer" l'IDFA qu'ils avaient pourtant conçu à l'origine, considérant qu'il permet d'identifier trop précisément un utilisateur.
@SyMich
Exactement! Il n’a jamais ete question d’empecher tout suivi, seulement de s’appuyer sur l’IFDA… Sinon Adobe, FB, et toutes les agences marketing pouvaient plier boutique. C’te blague.
@SyMich
"Je vous avais signalé au moment de la mise en place de ce dispositif par Apple qu'il était déjà contourné avant même d'être officiellement mis en œuvre. "
Tu n’es pas le seul dans ce cas et là on est au niveau du bricolage, les moyens permettant d’identifier et de tracké un individu peuvent être très sophistiqué et l’on a du mal à imaginer la masse de signature personnelles que l’on génère en ligne.
Il y a de bien trop gros intérêts financiers en jeu pour que ce ne soit pas une guerre permanente de mesures et de contre-mesures 😉
@SyMich :
« Apple n'a jamais cherché à interdire le tracking (ils ont même mis à disposition un nouveau framework destiné au tracking publicitaire). Ils ont juste voulu "tuer" l'IDFA qu'ils avaient pourtant conçu à l'origine, considérant qu'il permet d'identifier trop précisément un utilisateur. »
En effet. Ça n'a malheureusement pas empêché la presse, même celle spécialisée, de souvent titrer n'importe quoi, et de laisser entendre qu'Apple protégeait les utilisateurs de ses produits du pistage publicitaire.
Et on ne parlera évidemment pas des nombreux fan-boys de la marque persuadés que la Pomme est prête à renoncer aux innombrables applications gratuites de l'App Store qui se financent grâce à la publicité et, en particulier, au pistage des utilisateurs, simplement pour "protéger leur vie privée".
Je serai curieux de voir comment est présenté la chose aux développeurs.
Dans la fenêtre il est question de suivi, mais dans les petites lignes, il doit sûrement être question de l’IDFA. Ces app ne l’utilisent pas. Elles respectent donc ce qu’on leur demande. Elles ont juste trouvé un moyen de créer leur propre IDFA « bis », à partir de données rendant un appareil unique.
Si Apple a donc, dans cette fonction, juste interdit l’accès à l’IDFA, y’a rien qui interdit à ces apps de faire ce qu’elles font (si ce n’est une certaine morale, qu’elle n’ont visiblement pas).
C'est exactement ça .
Si vous regardez la doc et la FAQ, créer son propre moyen d'identifier uniquement un utilisateur est interdit. Le soucis c'est qu'il faut également regarder précisement les guidelines de validation, ce que personne ne fait : "Unless otherwise permitted by law, you may not use, transmit, or share someone’s personal data without first obtaining their permission. You must provide access to information about how and where the data will be used."
En l'état, ce procédé est clairement en désaccord avec les guidelines et ces apps devraient être éjectées...
@SyMich
et donc les recours de france digitale tout ça, c'est du pipeau 😕 ?
@TiTwo102
" y’a rien qui interdit à ces apps de faire ce qu’elles font (si ce n’est une certaine morale, qu’elle n’ont visiblement pas)."
Si c’est interdit dans les guidelines
🖕🏽
Sur l’app store dans la partie confidentialité de chaque app il est précisé ce qui peut être utilisé.
Quand il est précisé adresse mail, est-ce que c’est celle enregistrée pour l’app mail ou est-ce celle liée au compte Apple ? Si c’est celle de mail et qu’on en a enregistré plusieurs, sont-elles toutes envoyées ?
De manière globale ou trouver ce genre de précision sur iOS ?
Merci
Pages