Certains développeurs ont trouvé comment contourner le système anti-traçage d'Apple

Félix Cattafesta |

iOS 14.5 a introduit un changement de taille pour les développeurs, qui doivent désormais demander à l'utilisateur s'il souhaite que son activité soit suivie. Des données précieuses pour les régies publicitaires, qui peuvent ainsi cibler finement leurs réclames.

L'utilisateur se voit proposer deux options : Demander à l'app de ne pas me suivre et Autoriser. Si la deuxième option n'appelle pas de commentaires particuliers (l'utilisateur autorise le suivi de l'app en lui fournissant son identifiant unique IDFA), la première doit être prise en compte par le développeur, au risque de voir Apple supprimer son application de l'App Store. Ça, c'est la théorie. En pratique, les choses sont un peu différentes.

iOS 14 s

iOS 14 s'attaque au pistage de l'utilisateur par la pub dans les apps

Plusieurs apps très prisées de l'App Store, comme le jeu Subway Surfer, affichent bien la fenêtre d'autorisation du suivi (elles y sont obligées). Mais elles ne respectent pas la volonté de l'utilisateur qui ne veut pas du suivi, nous apprend le Washington Post. La publication révèle que le jeu envoie plusieurs éléments qui composent une empreinte numérique (fingerprinting), des données permettant à la régie publicitaire Chartboost d'identifier l'utilisateur.

Le jeu Subway Surfer.

Cette empreinte numérique peut contenir des informations comme le nom de l'iPhone, la définition de l'écran, la zone géographique, la version d'iOS, le niveau de la batterie, la langue, etc. Des informations anodines prises à part, mais qui ensemble peuvent servir à identifier un iPhone. Le Washington Post explique que le jeu Subway Surfer peut communiquer 29 éléments de ce type à un tiers. À ce compte, plus besoin d'IDFA !

Subway Surfer n'est pas la seule application à agir de la sorte. Les chercheurs en sécurité de Lockdown ont pu en tester plusieurs et leur conclusion est que le refus explicite du suivi ne change pas grand chose : ils ont simplement observé une diminution de 13% des tentatives d'envois de données à des tiers.

Par ailleurs, seuls les développeurs savent ce qui est fait des données, l'utilisateur est complètement laissé dans le noir : servent-elles à des fins de traçage ? Ils assurent qu'il s'agit d'informations techniques pour améliorer leurs apps, mais il y a tout lieu de douter de leur parole puisqu'ils ne respectent pas les directives d'Apple.

Pour Johnny Lin, cofondateur de Lockdown et ancien ingénieur d'Apple ayant travaillé sur iCloud, le constructeur devrait faire preuve de plus de clarté : « Lorsqu'il s'agit d'arrêter les trackers tiers, App Tracking Transparency [la technologie d'Apple] est un échec. Pire encore, le fait de proposer aux utilisateurs la possibilité d'appuyer sur un bouton "Demander à l'app de ne pas me suivre" peut même leur donner un faux sentiment de confidentialité ».

Certaines entreprises spécialisées dans la publicité sont donc en train de développer ce système alternatif en attendant une prise de position officielle de la part d'Apple. Deux d'entre elles, AppsFlyer et Kochava proposent même à leurs clients un mode activable en un clic permettant de contourner les nouvelles contraintes d'iOS 14.5.

Du côté d'Apple, la réponse est plutôt molle : contactée par le journal il y a plusieurs semaines, la Pomme a expliqué vouloir contacter les éditeurs concernés, sans que rien ne soit mis en œuvre pour l'instant. Il faut dire que Subway Surfer est listé par l'App Store comme un jeu à essayer absolument…


avatar Cro_Arthur | 

Je ne pense qu'on ne s'en rend pas compte, mais la collecte de donnée doit vraiment être une mine d'or pour les développeurs, pour aller jusqu'au point de contourner les sécurités...
Nos données valent + d'argent que nous... C'est triste...
Notre vie digitale > notre vie réelle... Quelle misère

avatar Liena1 | 

@Cro_Arthur

C’est le modèle économique, « payé par les pubs » qui est à revoir… leur dépendance à ces dernières est si forte qu’il en est vital

avatar Insomnia | 

@Liena1

Sauf que Apple en a profitez si il y avait pas eu autant d’applications gratuites grâce à la pub Apple ne pourrai pas se venter d’avoir autant d’applications sur son store, je trouve que c’est cracher dans la soupe maintenant que Apple à la main mise et profite de sa position pour le coup.

avatar victoireviclaux | 

@Insomnia

Les apps aussi on su profiter de la notoriété de l'App Store et parfois d'y construire une entreprise grâce à cette dernière, et d'y gagner des sous. C'est donnant donnant

avatar Insomnia | 

@victoireviclaux

Certes mais c’est Apple qui en a profitez sans vergogne et qui maintenant ayant le dessus sur les devs et en profite 😁

avatar Sindanárië | 

@Cro_Arthur

Il serait plus simple que le législateur impose que la collecte de ces données doivent être achetées directement au possesseur !
Une application, un site, une régie publicitaire, un développeur veux mes données ?
Ok…
mais tu me fait un joli chèque, virement, etc ! .
Il n’y a pas de raisons que l’on ne profite pas de ce système nous aussi !

avatar bibi81 | 

Ok…
mais tu me fait un joli chèque, virement, etc ! .
Il n’y a pas de raisons que l’on ne profite pas de ce système nous aussi !

Et du coup pour visiter le site ou utiliser l'application il te faudra payer (et donc rendre le chèque).

avatar Sindanárië | 

@bibi81

Et ?

avatar bibi81 | 

Et ce que tu proposes ne sert à rien.

avatar Phiphi | 

Pas sérieux. On s’attendrait à ce que Apple révoque en urgence les certificats des ces éditeurs…

avatar raoolito | 

@Phiphi

le soucis c qu'à ce compte il faudrait surement virer pas mal d'app. Le plus simple c'est de trouver comment empêcher le contournement. en general il pourrait suffire de bloquer plusieurs fuites et d'interdire les seules échappatoires, et donc de surveiller uniquement celles-là.
bon, au fond ce sera un jeu de chat et de souris, on imagine meme qu'on aura une rapprochement entre les boites qui achètent des failles et les dev pour la publicité (sans doute deja fait d'ailleurs)

avatar Phiphi | 

@raoolito

"à ce compte il faudrait surement virer pas mal d'app"

Ben oui…
Mais comme il y a non respect des clauses contractuelles on les a connus plus « mulets » !

avatar raoolito | 

@Phiphi

voui 😁

avatar MKO | 

@Phiphi

Oui je suis un peu surpris
Apple dit on bloque tout mais finalement ça bloque rien et Apple fait la moue ?

Je suis déçu !

avatar David Finder | 

@Phiphi

Le problème vient surtout du texte écrit dans la boîte de dialogue qui apparaît au lancement des apps : « Demander à l’app de ne pas me suivre »… 😳

Apple a écrit cela comme une simple demande, et un éditeur peut donc lire entre les lignes qu’une simple demande peut-être refuser… et l’utilisateur n’est alors ni averti que sa demande a été refusée, ni des données que son appareil envoie à l’app en question.

Mon avis c’est qu’Apple n’a pas été assez loin dans cette soit-disant « protection ». Comme le dit l’article, ce jeu est recommandé par l’App Store, mais Apple est au courant de ses mauvaises pratiques depuis « des semaines ».

Si Apple tient vraiment à ce slogan « Privacy », qu’ils le mettent à exécution pour de bon : virer les apps et fermer les comptes développeurs de ces apps.
Mais il y’a du fric à la clé pour Apple, qui prélève un pourcentage sur les ventes d’apps et sur leurs achats intégrés, et aussi j’imagine beaucoup de boulot pour trouver les apps qui évitent ce système…

Et vu qu’Apple a également revu sa position, dans iOS 15, sur la fonction d’enregistrement du suivi des apps (à la présentation d’iOS 15, c’était super clair pour n’importe quel utilisateur), mais maintenant, tu dois télécharger une app qui lit les fichiers .json pour tenter de comprendre quelque chose. Et ça, je pense que seuls les « power users » savent le faire. MacG a fait un article sur une app qui permet de reprendre le concept d’origine d’Apple.

Je pense donc qu’Apple s’est tirée une balle dans le pied avec tout ça, et ils ne savent plus comment gérer maintenant : mieux vaut se mettre à dos quelques power users que les milliards d’utilisateurs « lambdas » qui n’y comprennent rien, et refaire copain-copain avec les éditeurs et les annonceurs pour continuer à encaisser la monnaie.

avatar Nexon99 | 

@Phiphi

Tout à fait d’accord

avatar moua | 

Pareil pour le relay privé d’iOS 15, il est facile de récupérer l’ip.

Démo :

https://fingerprintjs.com/blog/ios15-icloud-private-relay-vulnerability/

avatar YetOneOtherGit | 

@moua

"Pareil pour le relay privé d’iOS 15, il est facile de récupérer l’ip."

Fixé sur la beta se Monterey et sans doute sur le premier patch d’iOS 15 😎

avatar bidibout | 

@moua

C'est quoi de bordel 😳 c'est moi ou ces nouvelles fonctions de iOS 15 c'est du bullshit ? 😡

avatar Travis_Scott | 
avatar quentinf33 | 

@Travis_Scott

Pour prouver quoi ? L’article ne prouve rien du tout et emploie le conditionnel.

Il suffit d’utiliser des traqueurs de requêtes web pour voir les requêtes qui transitent. Si safari envoyait des données à Tencent ça se verrait facilement.

avatar David Finder | 

@quentinf33

Exactement ! Surtout qu’on pourrait le vérifier avec l’app « Privacy Insights » que MacG a présenté cette semaine. Cette app remplace la fonction de suivi des apps qu’Apple devait introduire dans iOS 15, et qui n’est finalement qu’une blague en l’état.

avatar quentinf33 | 

@David Finder

Attends, iOS 15 est sorti il y a quatre jours. Mais si les publicitaires arrivent à contourner les systèmes, le suivi de l’app tracking servira pas forcément pour le coup… il vont peut être corriger le tir.

avatar David Finder | 

@quentinf33

Ils ont enlevé les captures d’écran de la fonction sur leur page de présentation d’iOS 15, et remplacées par des images de Safari et de ses mesures anti tracking…

Et la beta d’iOS 15.1 ne change absolument rien à la fonction : tu dois toujours exporter un fichier json (et la grande majorité des utilisateurs ne va pas comprendre comment exploiter ce fichier).

D’ailleurs, l’app Privacy Insights a déjà reçu une mise à jour pour la rendre encore plus simple et claire à utiliser. Tout est bien détaillé maintenant, à la manière de ce qu’Apple avait montré lors de la présentation d’iOS 15.

Ce n’est que mon avis, mais je ne crois pas que ça revienne tout de suite…..

avatar Amaczing | 

@Travis_Scott

Merci de tirer la chasse d’eau stp après ta pêche

avatar YetOneOtherGit | 

@Travis_Scott

"Je pose ça là"

L’expression est bien choisie, comme on pose un renard ou un étron 😂

Informations douteuses et datée, ça fait beaucoup quand même.

Si tu veux coller plus à l’actualité regarde les rapports de Tecent et du gouvernement Chinois sur la collecte de données 😎

avatar eMxPi | 

C'est moche de résumer ca aux développeurs. Sauf dev indépendant, la demande vient souvent du marketing qui cherche coûte que coute à collecter de la date et vendre ses emplacements de pubs... Les devs n'ont parfois pas forcément le choix que d'implémenter...

avatar tupui | 

@eMxPi

Oui surtout qu’en tant que dev, c’est toujours plus de boulot qui ne sont pas des features et sources de bugs. Quand in dev fait du logging ou autre, en général c’est plus pour comprendre pourquoi une requête a planté.

avatar eMxPi | 

exactement,
mais faut vendre de la pub et se battre pour son intégrité

avatar tupui | 

@eMxPi

On essaye, on essaye 😅 Avec ce genre d’histoires c’est difficile de communiquer sur le sujet. J’ai eu beaucoup de mal à ce que ma boîte accepté de communiquer un chouïa plus alors qu’on fait absolument rien. Mais le possible backfire est trop important.

avatar Mickaël Bazoge | 
Je suis toujours embêté avec ce genre d'actus, parce que je sais bien que la grande majorité des développeurs joue réglo, mais il suffit de quelques moutons noirs et voilà.
avatar raoolito | 

@MickaelBazoge

moi je dis LA MORT PAR TORTURE À LA PETITE CUILLÈRE ROUILLÉE POUR TOUS LES DEVS SUR TERRE !!!

avatar Sindanárië | 

@raoolito

"moi je dis LA MORT PAR TORTURE À LA PETITE CUILLÈRE ROUILLÉE POUR TOUS LES DEVS SUR TERRE !!!"

Put…

Mais t’es vraiment pénible !

Quand tu balances des trucs comme ça… ça m’excite !

Ça suffit !

😬😈

avatar eMxPi | 

C'est dommage tout de même, bien souvent les apps pleines de pubs et de tracking sont faites par des grosses structures (ces outils sont poussés par le marketing) les devs ont peu de poids face à l'entreprise

Si vous regardez la doc et la FAQ, créer son propre moyen d'identifier uniquement un utilisateur est interdit. Le soucis c'est qu'il faut également regarder précisement les guidelines de validation, ce que personne ne fait : "Unless otherwise permitted by law, you may not use, transmit, or share someone’s personal data without first obtaining their permission. You must provide access to information about how and where the data will be used."

En l'état, ce procédé est clairement en désaccord avec les guidelines et ces apps devraient être éjectées...

avatar YetOneOtherGit | 

@MickaelBazoge

"mais il suffit de quelques moutons noirs"

C’est plutôt élégant comme approche du beau boulot quand même face aux entraves unilatérales imposées par Apple 😁

Blague à part la légitimité de la démarche est une question de point de vue et nombreux ici reprochent à Apple sa main mise sur son écosystème.

avatar Bigdidou | 

@YetOneOtherGit

« Blague à part la légitimité de la démarche est une question de point de vue et nombreux ici reprochent à Apple sa main mise sur son écosystème. »

Complètement.
Après, il faut être cohérent et assumer qu’avec moins de mainmise d’App’e sur cet écosystème, on risque d’être plus suivi.
Moi, j’ai lâché prise et je dois avouer que je ne fais plus très attention à ces histoires de tracking publicitaire.
Probablement que mes représentations sont fausses, mais j’ai la sensation en tant que consommateur que le combat est perdu. Si je suis pas tracé par l’un, ce sera par l’autre, si c’est pas par une méthode, ce sera par une autre. Sauf moratoire improbable sur le sujet, cette course aux armement me paraît difficile à stopper.
Et en tant que professionnel, si j’avais quelque chose à vendre, je serais le premier à me lancer dans cette course :D

avatar YetOneOtherGit | 

@Bigdidou

"Probablement que mes représentations sont fausses, mais j’ai la sensation en tant que consommateur que le combat est perdu."

C’est un peu comme la guerre contre la drogue. 😄

Blague à part on va sur ces enjeux vivre des cycles de mesures et de contre-mesures.

Et il y a temps d’approches sophistiquées pour faire un profil précis de chaque individus …

c’est effectivement peut-être une guerre qui tient plus de l’argumentation marketing que de l’efficacité réelle.

Apple adresse un besoin où ils peuvent en terme de com et de marketing se différencier du principal concurrent sur les smartphone, mais en terme d’efficacité réelle à moyen terme…

avatar Sindanárië | 

@eMxPi

"C'est moche de résumer ca aux développeurs."

Oui c’est oublier les youtubeurs par exemple.

avatar YetOneOtherGit | 

@eMxPi

"C'est moche de résumer ca aux développeurs."

C’est un abus de langage par métonymie assez courant de nos jours, développeur ici défini la structure à l’origine de l’application pas les ressources en charge du développement.

Après c’est un challenge technique et intellectuelle très prisé par les bons tech de chercher le moyen de contourner des entraves, c’est même un classique voir une épreuve de passage initiatique. 😎

Opposer les « gentils » développeurs aux « méchants » marqueteux comme tu sembles le faire et assez caricaturale 😉

avatar SyMich | 

Je vous avais signalé au moment de la mise en place de ce dispositif par Apple qu'il était déjà contourné avant même d'être officiellement mis en œuvre.
Et ces contournements respectent strictement les consignes d'Apple qui impose l'affichage de la boîte de dialogue mais n'interdit pas le suivi ! Ce que dit Apple c'est que si l'utilisateur fait le choix de demander à ne pas être suivi, le suivi reste autorisé mais sans utiliser l'IDFA. Ces procédés tels que développés suivent à la lettre ces consignes.

Apple n'a jamais cherché à interdire le tracking (ils ont même mis à disposition un nouveau framework destiné au tracking publicitaire). Ils ont juste voulu "tuer" l'IDFA qu'ils avaient pourtant conçu à l'origine, considérant qu'il permet d'identifier trop précisément un utilisateur.

avatar Paquito06 | 

@SyMich

Exactement! Il n’a jamais ete question d’empecher tout suivi, seulement de s’appuyer sur l’IFDA… Sinon Adobe, FB, et toutes les agences marketing pouvaient plier boutique. C’te blague.

avatar YetOneOtherGit | 

@SyMich

"Je vous avais signalé au moment de la mise en place de ce dispositif par Apple qu'il était déjà contourné avant même d'être officiellement mis en œuvre. "

Tu n’es pas le seul dans ce cas et là on est au niveau du bricolage, les moyens permettant d’identifier et de tracké un individu peuvent être très sophistiqué et l’on a du mal à imaginer la masse de signature personnelles que l’on génère en ligne.

Il y a de bien trop gros intérêts financiers en jeu pour que ce ne soit pas une guerre permanente de mesures et de contre-mesures 😉

avatar webHAL1 | 

@SyMich :
« Apple n'a jamais cherché à interdire le tracking (ils ont même mis à disposition un nouveau framework destiné au tracking publicitaire). Ils ont juste voulu "tuer" l'IDFA qu'ils avaient pourtant conçu à l'origine, considérant qu'il permet d'identifier trop précisément un utilisateur. ​»

En effet. Ça n'a malheureusement pas empêché la presse, même celle spécialisée, de souvent titrer n'importe quoi, et de laisser entendre qu'Apple protégeait les utilisateurs de ses produits du pistage publicitaire.
Et on ne parlera évidemment pas des nombreux fan-boys de la marque persuadés que la Pomme est prête à renoncer aux innombrables applications gratuites de l'App Store qui se financent grâce à la publicité et, en particulier, au pistage des utilisateurs, simplement pour "protéger leur vie privée".

avatar TiTwo102 | 

Je serai curieux de voir comment est présenté la chose aux développeurs.

Dans la fenêtre il est question de suivi, mais dans les petites lignes, il doit sûrement être question de l’IDFA. Ces app ne l’utilisent pas. Elles respectent donc ce qu’on leur demande. Elles ont juste trouvé un moyen de créer leur propre IDFA « bis », à partir de données rendant un appareil unique.

Si Apple a donc, dans cette fonction, juste interdit l’accès à l’IDFA, y’a rien qui interdit à ces apps de faire ce qu’elles font (si ce n’est une certaine morale, qu’elle n’ont visiblement pas).

avatar SyMich | 

C'est exactement ça .

avatar eMxPi | 

Si vous regardez la doc et la FAQ, créer son propre moyen d'identifier uniquement un utilisateur est interdit. Le soucis c'est qu'il faut également regarder précisement les guidelines de validation, ce que personne ne fait : "Unless otherwise permitted by law, you may not use, transmit, or share someone’s personal data without first obtaining their permission. You must provide access to information about how and where the data will be used."

En l'état, ce procédé est clairement en désaccord avec les guidelines et ces apps devraient être éjectées...

avatar raoolito | 

@SyMich

et donc les recours de france digitale tout ça, c'est du pipeau 😕 ?

avatar Sindanárië | 

@TiTwo102

" y’a rien qui interdit à ces apps de faire ce qu’elles font (si ce n’est une certaine morale, qu’elle n’ont visiblement pas)."

Si c’est interdit dans les guidelines

avatar Sindanárië | 

🖕🏽

avatar CorbeilleNews | 

Sur l’app store dans la partie confidentialité de chaque app il est précisé ce qui peut être utilisé.

Quand il est précisé adresse mail, est-ce que c’est celle enregistrée pour l’app mail ou est-ce celle liée au compte Apple ? Si c’est celle de mail et qu’on en a enregistré plusieurs, sont-elles toutes envoyées ?

De manière globale ou trouver ce genre de précision sur iOS ?

Merci

Pages

CONNEXION UTILISATEUR