La forteresse érigée par Apple pour protéger la confidentialité des utilisateurs est-elle bâtie sur des fondations en sable ? De nouvelles révélations provoquent en tout cas un certain trouble concernant les pratiques du constructeur. Les chercheurs en sécurité Tommy Mysk et Talal Haj Bakry ont ainsi découvert que les données analytiques envoyées par l'iPhone contiennent un identifiant unique, dsId (pour Directory Services Identifier).
🚨 New Findings:
— Mysk 🇨🇦🇩🇪 (@mysk_co) November 21, 2022
🧵 1/6
Apple’s analytics data include an ID called “dsId”. We were able to verify that “dsId” is the “Directory Services Identifier”, an ID that uniquely identifies an iCloud account. Meaning, Apple’s analytics can personally identify you 👇 pic.twitter.com/3DSUFwX3nV
Ce dsId unique étant attaché à un compte iCloud, Apple aurait donc les moyens de remonter à l'utilisateur individuel et aux informations liées (nom, date de naissance, adresse courriel, données stockées dans iCloud). Dans les mentions légales consacrées à l'analyse de l'appareil et la confidentialité, Apple assure pourtant qu'« aucune des informations collectées ne vous identifie personnellement ». Est-ce seulement vrai ?
Apple précise néanmoins que dans le cas de l'envoi de données depuis plusieurs appareils utilisant le même compte iCloud, le constructeur peut « établir des liens entre certaines données d’utilisation relatives aux apps Apple sur l’ensemble de ces appareils par le biais d’une synchronisation chiffrée de bout en bout ».
Apple ajoute immédiatement que la méthode employée (dsId ?) ne permet pas d'identifier personnellement l'utilisateur, et le chiffrement de bout en bout semble bien protéger l'identité de l'utilisateur. Néanmoins, l'existence même d'un identifiant unique soulève des interrogations.
Les données d'analyse sont utilisées par Apple pour améliorer ses produits et ses services. Il est possible de ne pas partager ces informations avec le constructeur (l'option Partager l'analyse (iPhone + Watch) dans la capture à gauche).
Cette découverte s'ajoute à celle, récente, qui concerne l'App Store. La boutique aussi collecte des informations personnelles d'une manière qui ne semble pas tout à fait correspondre aux discours d'Apple. D'ailleurs, une class action a été intentée sur cette base contre le constructeur.
L’App Store collecte de nombreuses informations personnelles, même en désactivant les publicités personnalisées
Source :
