iOS 14.5 : la vérification de la dangerosité d'un site n'enverra plus votre adresse IP à Google

Florian Innocente |

Le fonctionnement de Safari dans iOS 14.5 bêta 1 apporte un changement dans la manière dont le navigateur communique avec Google afin de rendre complètement opaque l'origine des requêtes de l'utilisateur.

Dans les réglages de Safari se trouve l'option « Alerte si site web frauduleux ». Elle n'est pas nouvelle, vous l'avez déjà sur votre iPhone, mais ce qui va changer avec cette prochaine version d'iOS c'est la manière dont elle opère en coulisses.

Cette option, comme la décrit Apple, consiste à vous prévenir si vous êtes arrivé sur un site qui tente peut-être de vous extorquer des informations en se faisant passer pour un site légitime (du hameçonnage en somme).

Apple utilise le service Safe Browsing de Google pour vérifier la teneur de chaque site que vous consultez. Le moteur alimente quotidiennement une base de données de sites web qu'il juge compromis ou dangereux :

Nous analysons des sections de notre index Web afin d'identifier les sites susceptibles de contenir des logiciels malveillants. Ensuite, nous testons ces sites à l'aide d'une machine virtuelle pour voir s'ils infectent la machine. Pour localiser les sites d'hameçonnage, nous utilisons des modèles statistiques.

Safari envoie une version codée de l'URL du site à vérifier, de manière à ce que Google ne sache pas quelle adresse lui est soumise. Mais en l'état actuel des choses, Safari transmet par la même occasion votre adresse IP à Google (ce que dit clairement la documentation d'Apple).

À partir d'iOS 14.5, ces requêtes transmises au système de vérification de Google vont être prises en charge par les serveurs d'Apple qui officieront en tant que proxy. Google verra donc arriver des demandes en provenance d'Apple et non plus directement de la part des utilisateurs de Safari.

Découvert par un utilisateur de Reddit et détaillé par The 8-Bit, ce changement a été confirmé par Maciej Stachowiak, le responsable de l'ingénierie de WebKit.

Dans son tweet il évoque quelques imprécisions dans l'article. Initialement The 8-Bit écrivait qu'Apple téléchargeait de Google la base des sites compromis pour effectuer la comparaison elle-même. Apparemment Apple s'en tient à se faire passer pour l'utilisateur auprès de Google, le site a modifié son article.


avatar R-APPLE-R | 

Décidément 14.5 est plein de surprises 🙃

avatar Liena1 | 

Très bonne nouvelle !

avatar 0MiguelAnge0 | 

@Liena1

Et pendant ce temps Apple envoie en raffale rt en clair sur ces serveurs la liste des App sur chaque machines pour vérifier le certificat du dev.
C’est bien de communiquer sur ce que font les vilains autres mais eux...?
Bref, chez moi ce truc est systématiquement bloqué. Je n’ai pas besoin d’Apple pour faire le ménage.

Et pour revenir à l’article, j’ai trouvé sidérant que Duckduckgo partage des données avec Google systématiquement. Là encore cela doit partir d’une bonne intention mais pour un browser qui se fait chantre de la vie privée, c’est assez ironique. Bref, je me suis aussi occupé de ces requêtes.

avatar Boboss29 | 

J'ai l'impression que c'est le vrai ios 14!

avatar Rifilou | 

@Boboss29

Il faut toujours plusieurs mois et versions majeures pour avoir toutes les nouveautés annoncées par Apple à la WWDC

avatar byte_order | 

> À partir d'iOS 14.5, ces requêtes transmises au système de vérification de Google vont
> être prises en charge par les serveurs d'Apple qui officieront en tant que proxy.

Et donc Apple recevra votre adresse IP actuelle ainsi que le site que vous visitez actuellement.
Cela déplace juste en qui on doit avoir confiance, cela ne solutionne pas le problème.
Pire, Apple, elle, sait comment sont codé les URLs par Safari...

avatar byte_order | 

> À partir d'iOS 14.5, ces requêtes transmises au système de vérification de Google vont
> être prises en charge par les serveurs d'Apple qui officieront en tant que proxy.

Et donc Apple recevra votre adresse IP actuelle ainsi que le site que vous visitez actuellement.
Cela déplace juste en qui on doit avoir confiance, cela ne solutionne pas le problème.
Pire, Apple, elle, peut très bien modifié la façon dont elle transmet l'URL (car ce n'est pas Apple qui actuellement avait décidé d'encoder, c'est imposé par l'API Update v4 du Safe Browsing de Google), vu que désormais elle contrôle à la fois le côté client et le côté serveur du mécanisme, sans d'ailleurs pour autant être celle qui se tape le boulot réellement à valeur ajoutée, à savoir maintenir une base des URL (SHA256'ed) frauduleux.

Au passage, un excellent moyen de faire du crowd-scrapping de cette base de Google, pas sûr que cela soit conforme aux termes du service d'ailleurs...

avatar Krysten2001 | 

@byte_order

Je pense que vu la posture d’Apple, il n’y a pas de quoi s’enflammer. On n’est pas sur de l’androïde.

avatar Godverdomme | 

Apple gentil, Google méchant, c'est pourtant tellement facile a comprendre!

avatar Krysten2001 | 

@Godverdomme

Je n’ai pas dit cela. L’un a un modèle économique basé sur les données personnelles,... donc pas axée sur la vie privée. L’autre oui. Je préfère le choix du deuxième.

avatar byte_order | 

@Krysten2001
> L’un a un modèle économique basé sur les données personnelles,...
> donc pas axée sur la vie privée.

Hein ?
En quoi exploiter vos données personnelles pour vendre du placement de pub adapté à votre profil revient à violer votre vie privée, c.a.d. à rendre publique votre vie privée !?

> L’autre oui. Je préfère le choix du deuxième.

Je préfère être celui qui choisi ce que je préfère.

avatar stefhan | 

@byte_order

Non c’est pour établir des profils utilisateurs, pas nécessairement pour les pubs...

avatar Krysten2001 | 

@byte_order

Vous savez très bien qu’il n’y a pas de vie privée avec Google. Vous espionnez partout, tout le temps.

avatar Tao | 

@byte_order

Ils ont déjà ces deux infos quand tu utilises Safari donc ça fait une tierce partie qui a accès à ces infos de moins, c’est toujours bon à prendre

avatar byte_order | 

@
> Je pense que vu la posture d’Apple, il n’y a pas de quoi s’enflammer.

Ben tiens. Quand c'est Apple qui installe un proxy, c'est bien, quand c'est les autres, quelques en soit la raison, c'est mal.

> On n’est pas sur de l’androïde.

Quel rapport avec l'OS ici !?
Cela concerne la navigation web, ici, en l'occurence, d'un navigateur.

Et, en l’occurrence, sur Android (vous avez quel âge pour avoir la puérilité de l'écrire ainsi !?) on peut choisir réellement le navigateur web que l'on veut utiliser, moteur web inclus, pas juste la façade.

@Tao
Apple collecte les adresses URL, même codées, des sites que vous visitez !? Depuis quand !?

> ça fait une tierce partie qui a accès à ces infos de moins, c’est toujours bon à prendre

Étrangement, je préfère toujours la diversité des tiers que de tout concentrer.
Par exemple, ne pas devoir forcément utiliser Safari ou Chrome mais plutôt Firefox, ne pas concentrer dans une seule source de "sécurité" qui est juge et partie...

avatar raoolito | 

@byte_order

on est bien d’accord que si vous affirmiez now que vous avez un iphone entre le smains, vous seriez considéré comme quelqu’un se moquant du monde ?
et si ce n’est pas le cas, merci de jouer les antiApple mais on a pas quitté les basheurs de MB pour retomber sur ce gnere de personnes ici.

Apple respecte plus notre vie privée que les autres google ou FB (à verifier pour crosoft) point barre. prouvez donc le contraire au lieu de vous parer d’une fausse vertue...

avatar Godverdomme | 

C'est vrai que le procès d'intention a Google est gratuit, tandis que dire que Apple n'est pas un saint demande une analyse de 562 pages pour convaincre 😂

avatar byte_order | 

@raoolito
> on est bien d’accord que si vous affirmiez now que vous avez un iphone entre le smains,
> vous seriez considéré comme quelqu’un se moquant du monde ?

Je n'ai pas d'iPhone ni même ne possède, à titre personnel, de produits Apple.
Pourquoi ? C'est obligatoire pour avoir le droit de s'exprimer sur Apple de devoir acheter du Apple ? On doit boire du RoundUp pour avoir le droit de ritiquer Mosanto ?

> et si ce n’est pas le cas, merci de jouer les antiApple mais on

C'est qui, "on" ?
C'est un club privé ici ?

> a pas quitté les basheurs de MB pour retomber sur ce gnere de personnes ici.

Libre à vous d'utilisez votre fonction "bloque" que vous donne votre carte de membre du club afin d'avoir *votre* club privé.

Mais cela ne vous donne pas le droit de m'interdire à moi de commenter ici.
Ca, y'a que MacG qui le peut. Ou la loi française, éventuellement.

> Apple respecte plus notre vie privée que les autres google ou FB
> (à verifier pour crosoft) point barre.
> prouvez donc le contraire au lieu de vous parer d’une fausse vertue...

1) En chine, Apple utilise non pas Google Safe Browsing, mais un truc chinois.
Qui ne respecte clairement pas la vie privée. Ca c'est très facile à vérifier.

2) Merci de prouver que Google Safe Browsing est utilisé par Google pour violer la vie privée des gens.

Généraliser le profiling fait par Google lors des visites des sites à tout ce que fait Google forcément tout le temps et dans le même temps considérer que d'imposer un proxy central entre *votre* navigateur web (dont le moteur web est imposé sur iOS, pour rappel) et un service de vérification de site web frauduleux ne pose pas problème, c'est tout autant se parer d'une fausse vertue.

avatar morpheusz63 | 

@byte_order

Merci, et bon courage je vous soutiens pour qu'on respecte votre point de vue. Sachant que vous êtes du métier et eux pas

avatar Tao | 

@byte_order

Depuis que l’historique Safari est enregistré dans les sauvegardes iCloud (qui ne sont pas E2EE)

avatar byte_order | 

@Tao
Ah, très bien, comme ça en plus cela sera encore plus facile de retrouver à partir du hash de URL l'URL réel, vu que Apple aura accès au 2...

avatar Krysten2001 | 

@byte_order

« Ben tiens. Quand c'est Apple qui installe un proxy, c'est bien, quand c'est les autres, quelques en soit la raison, c'est mal. »

L’un a un modèle économique basée sur les données personnels,... et vit de ça. L’autre non. Donc oui j’ai plus confiance envers le second.

« Quel rapport avec l'OS ici !?
Cela concerne la navigation web, ici, en l'occurence, d'un navigateur. »

Et le navigateur, il est sur quoi ? Un OS. Google s’en fou de quel navigateur vous avez, il va tout scanner pour vous tracez. Apple lui s’en fou.

Et concernant le mot que j’ai tapé « androïde » c’est le correcteur auto mais on s’en fou de ça donc je ne vois pas pourquoi vous faites une remarque.

avatar reborn | 

@byte_order

Oui c’est pour ça que la concurrence à du bon entre iOS et Android.

Sur Android l’on est plus libre ! , du coup les gens intéressé par cet aspect ce dirige vers cet OS !

Quel monde merveilleux ! 🥰

avatar byte_order | 

@reborn

Sauf que là, on parle de navigation web, pas de l'usage d'un smartphone. Pourquoi on devrait changer de smartphone pour pouvoir choisir et contrôler la façon dont on surfe sur le web ?

Vous devez changer de véhicule pour pouvoir utiliser une route plutôt qu'une autoroute, vous !?

avatar byte_order | 

@reborn

Sauf que là, on parle de navigation web, pas de l'usage d'un smartphone. Pourquoi on devrait changer de smartphone pour pouvoir choisir et contrôler la façon dont on surfe sur le web ?

Vous devez changer de véhicule pour pouvoir utiliser une route plutôt qu'une autoroute, vous !?

avatar reborn | 

@byte_order

Vous devez changer de véhicule pour pouvoir utiliser une route plutôt qu'une autoroute, vous !?

Tous les véhicules ne sont pas autorisé sur une autoroute.

De la même manière que tout les navigateurs ne sont pas autorisé sous iOS

avatar byte_order | 

@reborn
> Tous les véhicules ne sont pas autorisé sur une autoroute.

Mais toutes les véhicules d'une même catégorie, au hasard les VL, si.
Le tri ne se fait pas selon la marque du constructeur.

> De la même manière que tout les navigateurs ne sont pas autorisé sous iOS

C'est comme si vous disiez que toutes les marques de VL ne sont pas autorisés à rouler sur les autoroutes Vinci, seulement ceux vendu par... Vinci.

Vous croyez vraiment que le législateur n'aurait rien à redire à pareil situation ?
Vraiment ?!

avatar romainB84 | 

@byte_order

avatar romainB84 | 

@byte_order

T’inquiète pas respire ! C’est juste un article où les gens ne disent pas qu’Apple c’est de la merde ... faut leur pardonner ... t’en fait pas ... les 90 prochains seront dédié à ça ! Tu pourras t’en donner à cœur joie !
Faut bien de temps en temps aussi satisfaire les fanboys! Essaie de comprendre MacG. Certes, ils ont une plus grosse base de lecteurs troll anti Apple, mais il y a aussi quelques fanboys dans le tas 🙂! Il faut satisfaire tout le monde 🙂.

avatar byte_order | 

Note mentale : non, c'est trop tôt pour te refaire un marathon TBBT. Le dernier date d'un mois seulement !

avatar romainB84 | 

@byte_order

Tu crois pas si bien dire, je suis en train de me les refaire 😉.

avatar vincentn | 

Et qu’en est-il du pendant chinois du Google Safe Browsing, Tencent ? Apple continue avec eux ou effectue les mêmes changements qu’avec Google?

Passer par un proxy Apple est un premier pas, mais insuffisant. On rajoute juste un intermédiaire/tiers de confiance (ici Apple, à qui l’ont fait confiance) pour empêcher Coogle de récupérer directement certaines infos.
Mais Google gère toujours cette liste (même si elle est relativement efficace, elle peut être sujet à des erreurs, des faux positifs, etc.). Les plus importants navigateurs utilisent tous la solution proposée par Google.
À quand une solution indépendante voire décentralisée ?

avatar r e m y | 

Question de néophyte....
Est-ce si grave de communiquer son adresse IP à Google sachant que sur un smartphone elle change régulièrement ?

avatar Godverdomme | 

C'est la question la plus intelligente Monsieur le néophyte.

Arrêtez de poser des questions et crachez sur Google, c'est plus facile!

avatar r e m y | 

@Godverdomme

Question complémentaire (et après promis je cracherai avec les autres...)
N'est-ce pas plus embêtant de passer par Apple qui pourrait lier ces requêtes à notre appleID et donc à notre véritable identité ?

avatar Krysten2001 | 

@r e m y

Vraiment pas car ils ne font pas leur business là dessus 😎

avatar raoolito | 

@r e m y

Disons que moi je veux que Apple ait mon nom et sache ce que je fais et je ne veux pas que Google le fasse

avatar byte_order | 

@r e m y
> N'est-ce pas plus embêtant de passer par Apple qui pourrait lier ces requêtes
> à notre appleID et donc à notre véritable identité ?

Sans oubliez l'historique des URL visités dans iCloud, le cas échéant...

avatar xDave | 

@Godverdomme

Votre ISP l’a de toute façon cette IP.

avatar raoolito | 

@r e m y

mmhmm avec Google je ne me lancerais pas trop dans une quelconque affirmation. ils ont les moyens de lier une personne à une address ip, et de faire l’inverse 5mn apres du ocup ils ne vous lachent pas.

avatar r e m y | 

@raoolito

Comment Google peut lier mon adresse IP à ma véritable identité que Google ne connaît pas (je n'ai jamais eu de compte Google)?

avatar Godverdomme | 

Ce sont des reptiliens francs maçons qui ont les données de ton architecte qui a mis ses plans dans Drive, ainsi que ton fournisseurs Internet, c'est facile de faire la corrélation.

avatar draco1544 | 

@r e m y

"Comment Google peut lier mon adresse IP à ma véritable identité que Google ne connaît pas (je n'ai jamais eu de compte Google)?"

Google la connais forcément, comme Facebook en récoltant des informations à droite à gauche

avatar r e m y | 

@draco1544

Je veux bien qu'ils aient récupéré mon identité quelque part ... rien que pour des raisons professionnelles, je suis facilement trouvable sur internet.
Mais de là à faire le lien avec une adresse IP qui n'était pas la mienne 10 mn avant et ne sera plus la mienne 5 minutes plus tard.... j'ai des doutes.

(Apple par contre, peut directement lier la requête à mon appleID et donc à mon identité réelle)

avatar reborn | 

@r e m y

Mais de là à faire le lien avec une adresse IP qui n'était pas la mienne 10 mn avant et ne sera plus la mienne 5 minutes plus tard.... j'ai des doutes.

C’est très simple de te suivre, adwords est la plateforme de pub numéro 1.

Google analytics est l’outil de tracking numero 1.

avatar r e m y | 

@reborn

Pas en recevant juste une adresse IP et une URL pour la comparer à celles de la base de données de Google!

avatar r e m y | 

Double post (y'a de l'écho ce soir)

avatar raoolito | 

@r e m y

Disons que il ne connaissait pas forcément votre identité avant mais ils suivaient une personne par son adresse IP ses cookies et quoi que ce soit
Et là bingo ils ont en plus un nom

avatar r e m y | 

@raoolito

Ben non justement! Avec Google, ils ne peuvent avoir mon nom... (sauf à ce que quelqu'un m'explique comment avec des explications techniques, pas juste sur des croyances)

Et suivre une adresse IP qui ne correspond jamais à la même personne, c'est pas ça qui va permettre de faire le lien avec moi, du moins je ne vois toujours pas comment.

avatar r e m y | 

Double post

Pages

CONNEXION UTILISATEUR