iOS 14.5 : la vérification de la dangerosité d'un site n'enverra plus votre adresse IP à Google
Le fonctionnement de Safari dans iOS 14.5 bêta 1 apporte un changement dans la manière dont le navigateur communique avec Google afin de rendre complètement opaque l'origine des requêtes de l'utilisateur.
Dans les réglages de Safari se trouve l'option « Alerte si site web frauduleux ». Elle n'est pas nouvelle, vous l'avez déjà sur votre iPhone, mais ce qui va changer avec cette prochaine version d'iOS c'est la manière dont elle opère en coulisses.
Cette option, comme la décrit Apple, consiste à vous prévenir si vous êtes arrivé sur un site qui tente peut-être de vous extorquer des informations en se faisant passer pour un site légitime (du hameçonnage en somme).
Apple utilise le service Safe Browsing de Google pour vérifier la teneur de chaque site que vous consultez. Le moteur alimente quotidiennement une base de données de sites web qu'il juge compromis ou dangereux :
Nous analysons des sections de notre index Web afin d'identifier les sites susceptibles de contenir des logiciels malveillants. Ensuite, nous testons ces sites à l'aide d'une machine virtuelle pour voir s'ils infectent la machine. Pour localiser les sites d'hameçonnage, nous utilisons des modèles statistiques.
Safari envoie une version codée de l'URL du site à vérifier, de manière à ce que Google ne sache pas quelle adresse lui est soumise. Mais en l'état actuel des choses, Safari transmet par la même occasion votre adresse IP à Google (ce que dit clairement la documentation d'Apple).
À partir d'iOS 14.5, ces requêtes transmises au système de vérification de Google vont être prises en charge par les serveurs d'Apple qui officieront en tant que proxy. Google verra donc arriver des demandes en provenance d'Apple et non plus directement de la part des utilisateurs de Safari.
Découvert par un utilisateur de Reddit et détaillé par The 8-Bit, ce changement a été confirmé par Maciej Stachowiak, le responsable de l'ingénierie de WebKit.
This article is a bit confused on the details of how Safe Browsing works, but in the new iOS beta, Safari does indeed proxy the service via Apple servers to limit the risk of information leak.https://t.co/TlDZNMO8do
— othermaciej (@othermaciej) February 11, 2021
Dans son tweet il évoque quelques imprécisions dans l'article. Initialement The 8-Bit écrivait qu'Apple téléchargeait de Google la base des sites compromis pour effectuer la comparaison elle-même. Apparemment Apple s'en tient à se faire passer pour l'utilisateur auprès de Google, le site a modifié son article.
@r e m y
Prenons le cas de votre smartphone. Vous passez par un opérateur que ce soit en 3G/4G/5G ou via Wifi (réseau d’entreprises, personnel, etc.) Chaque FAI a des plages d’adresses IP allouées. Même si elles changent régulièrement sur votre terminal (fréquemment sur réseau mobile, beaucoup moins sur réseau wifi perso ou d’entreprise), on peut déjà savoir via quel opérateur et/ou entreprise vous vous connectez.
Via les cookies, on peut savoir le type de terminal, résolution, langue, etc.
L’immense majorité des apps, même les plus anodines comme les impôts, votre banque, votre chaîne hifi, etc. utilisent des trackers, des SDK… proposés par plein de sociétés tierces dont Google ou Facebook par exemple exemple. Via les apps, suivant vos parametrages et l’honnêteté de son développeur, on peut encore récupérer pas mal d’informations et de métadonnées. Bref, vous laissez des traces, qui forment une empreinte quasi unique, votre vous/double numérique. Google, Facebook, Criteo etc. étant quasiment partout, ils agrègent énormément d’informations, permettant d’affiner encore plus votre profil. Ce qui ne veut pas dire que l’on connaît encore votre identité réelle.
D’autres informations (identifiant, numéros de téléphone, adresse mail, etc. ) sont revendus par des databrokers qui les achètent légalement (ou pas) auprès des sites où vous avez laissé vos coordonnées/informations personnelles (que vous avez autorisé dans l’alinéa 2 paragraphe 3.B.1 du volet III de la page 150 des CGU en caractères 7 que vous n’avez pas lu).
Bref, même sans le vouloir, on (MacG en partie,mais aussi en partie Google via ses trackers, etc) a votre pseudo, votre type de machine, votre opérateur, le lieu plus ou moins précis, les moments où vous vous connectez et répondez, etc.)
Plein d’informations sans forcément de grandes conséquences seules, mais qui, agrégées révèlent déjà beaucoup de vous et de vos habitudes. Sans connaître forcément votre véritable identité, Google et consorts savent déjà beaucoup sur vous.
Et je ne parle pas d’autres techniques plus ou moins simples, plus ou moins légales qui permettrait de vous cibler encore plus précisément et de savoir qui vous êtes réellement. Cela demande juste plus ou moins de compétences, de temps et de moyens financiers/techniques pour l’entité qui vous a ciblé et souhaite savoir qui est vraiment derrière remy, ses habitudes, sa vie.
@vincentn
Merci de cette réponse détaillée.
Je ne mets pas en question tout ce que vous décrivez, mais dans le cas présent, Google reçoit juste une adresse IP et l'URL à vérifier (sans aucune autre info... ni le type d'appareil, ni le navigateur utilisé, ni évidemment le contenu d'aucun cookie enregistré sur mon iPhone).
Impossible de faire le lien avec qui que ce soit!
Cette adresse IP a été utilisée par des milliers de personnes. Comment savoir que lorsque la requête arrive au serveur Google Safe, l'adresse IP qui accompagne l'URL à vérifier est utilisée par moi et pas par quelqu'un d'autre?
@r e m y
Ce que je dis est hypothétique, pas vérifié dans le détail :
L’adresse IP est certes utilisée par des milliers de personnes, mais à cet instant T, uniquement par vous.
Imaginons que vous allez maintenant sur le site de MacG via Safari ou Chrome ou Firefox.
L’adresse IP permet déjà de savoir via quel opérateur vous vous connectez et potentiellement la zone géographique. Google sait donc déjà qu’une personne lambda se trouvant à tel endroit essaie d’accéder à tel site à telle heure qui porte sur tel domaine.
Google sait également, via l’APi qui permet d’interroger sa base à partir de quel navigateur vous effectuez cette requête permettant de savoir si vous êtes sur Safari ou Chrome, sur un iPhone ou un PC, et la version de l’app et celle de l’OS.
L’URL peut aussi apporter d’autres informations.
Ce n’est certes pas grand chose et ne permet pas de vous identifier uniquement avec ça, mais c’est déjà pas mal.
C’est l’agrégation de données par différents moyens qui démultiplie cette possibilité.
Imaginons hypothétiquement qu’un cookie, un tracker, ou quelque soit d’approchant Google soit présent sur le site et passe outre les protections que vous avez pu mettre en place.
Le rapprochement avec l’empreinte que Google possède de vous est alors fort probable.
@vincentn
Ok je vois...
Merci de cet échange avec des éléments concrets et une explication détaillée. 👍
@r e m y
Après, un spécialiste pourra apporter des précisions et corrections (il y a forcément des approximations voire des erreurs) à ce que j’ai pu écrire.
Triple post
Vivement iOS 14.5 pour tous les nouveautés quand même 😁
Pourquoi gogol ? Il y a les autres moteurs de recherches comme Bang, Yeeeah!, CoinCoinVa!, WanK(oops)... le fruit va aussi leur partager les données cryptées de safari ?
@Mac13
On parle ici de l'utilisation du service de vérification préalable qu'un URL n'est pas connu pour être frauduleux (phishing, usurpation, malware).
Hors dans ce secteur de service, y'a Google Safe Browsing et pas franchement grand chose d'autre. C'est directement lié au fait que Google indexe nettement plus de pages web que n'importe qui d'autres, et est donc nettement mieux placer que quiconque pour maintenir une base de données des pages web (et donc URL) suspectes.
Vous pouvez parfaitement utiliser un autre moteur de recherche sur internet pour trouver une page web qui vous intéresse, mais quand votre navigateur voudra vérifier que la page web que vous avez cliqué n'est pas connue pour être suspecte, là, malheureusement, y'a pas encore d'alternative réelle au service Safe Browsing de Google pour cela.
Enfin!!!
Je vais peut-être réactiver cette fonction du coup
Pages