Alasdair Allan et Pete Warden, deux chercheurs en sécurité, ont découvert que l'iPhone et l'iPad 3G enregistraient à intervalles réguliers leur position, qu'ils stockaient dans un fichier caché que les services de localisation soient activés ou pas. Ce fichier peut être retrouvé dans la sauvegarde de l'appareil sur ordinateur, et contient une liste permettant de suivre en détail les mouvements de l'utilisateur, puisque les coordonnées (latitude et longitude) sont associées à un moment précis (timestamp).

[MàJ] : il avait été déjà mis en évidence et passé au tamis en septembre dernier sur le blog de Paul Courbis. Si ce n'est que l'auteur n'avait pas remarqué sa présence également sur l'ordinateur et donc un accès potentiellement plus aisé avec l'aide d'un logiciel comme celui cité ici.

« Apple permet ainsi à n'importe qui (une épouse jalouse, un détective privé…) pouvant accéder à votre iPhone ou votre ordinateur [NdT : directement ou par le biais d'un vol] d'obtenir des informations détaillées sur les lieux dans lesquels vous vous êtes rendus » explique Warden. Cette « fonction » étant apparue avec iOS 4, c'est ainsi un an de parcours qui a pu être enregistré si l'iPhone a été sauvegardé régulièrement. Si la sauvegarde est protégée par mot de passe, le fichier n'est pas lisible et les données protégées.

Les deux chercheurs ont trouvé ce fichier par hasard, en travaillant sur des systèmes de visualisation de la localisation. Pete Warden a travaillé cinq ans pour Apple, qu'il a quitté il y a trois ans. Ils ont mis en ligne iPhoneTracker, un utilitaire qui lit les données de ce fichier et permet de reconstituer l'historique « de navigation » de l'iPhone ou de l'iPad 3G (les optimistes diront que c'est une manière élégante de retracer ses déplacements). Selon l'ancienneté de la sauvegarde, le nombre de points peut grandement varier. La précision varie grandement aussi : la localisation est effectuée par triangulation cellulaire.

Le fait que seuls des appareils iOS dotés d'une puce 3G enregistrent leur position et que le fichier est transféré d'appareil en appareil laisse à penser qu'il s'agit là d'une fonction réseau. Depuis toujours, les téléphones enregistrent à intervalles réguliers leur position par rapport aux antennes-relais, les opérateurs s'en servant pour adapter la capacité de leur réseau.

Google utilise Android pour enregistrer les SSID des bornes WiFi environnantes pour améliorer son service de localisation, ce que fait aussi Apple depuis iOS 3.2 (avril 2010). De fait, on sait déjà depuis huit mois que l'iPhone enregistre sa position que les services de localisation soient activés ou pas (lire : Géolocalisation : Apple fait désormais cavalier seul), et l'envoie à Apple. Ce fichier précis n'est quant à lui a priori pas envoyé à Apple : le problème n'est donc pas qu'il existe, puisque cette collecte n'est pas nouvelle et détaillée dans les conditions d'utilisation d'iOS, mais qu'il soit si facile d'accès.

Graham Cluley de Sophos résume bien la situation : « je ne pense pas qu'Apple essaye de vraiment surveiller où ses utilisateurs sont allés […] Mais si ces données ne servent pas un but précis, elles ne devraient pas être là. » Apple doit donc faire en sorte que ces données ne soient plus accessibles et expliquer leur utilisation (avec de préférence une bonne raison à la clef) : aucun identifiant utilisateur n'est semble-t-il associé à ces données, le principal risque reste donc celui d'un proche un peu trop indiscret. Au mieux, elle les retirera purement et simplement.

Sur le même sujet
- Collecte des données : Apple s'explique
- Apple collecte vos infos de localisation : le Congrès US n'apprécie pas