iOS 14 : WhatsApp ne respecte pas complètement les restrictions d'accès aux photos 🆕

Florian Innocente |

WhatsApp n'a pas complètement intégré la nouvelle politique d'iOS 14 pour l'utilisation des photos par une app. L'une de ses options continue d'accéder à l'intégralité de votre photothèque en dépit d'un réglage d'interdiction dans iOS (voir la mise à jour faite en fin d'article).

C'est plus particulièrement la modification de la photo de profil qui pose problème. Même si vous avez interdit tout accès à l'app Photos dans les réglages système de confidentialité pour WhatsApp, celui-ci n'en a cure et vous laisse choisir une image dans toute votre photothèque, ou vous propose d'aller dans vos albums.

À gauche WhatsApp n'a aucun droit d'accès aux photos. À droite on veut modifier celle de son profil…
…et WhatsApp donne un accès complet à la photothèque

À l'inverse, ce réglage d'interdiction est parfaitement respecté dans une conversation de WhatsApp lorsqu'on veut envoyer une photo, comme l'a remarqué l'un de nos lecteurs qui nous a signalé ce comportement curieux. Il se reproduit facilement et systématiquement.

Dans une conversation, l'interdiction d'accès est bien respectée

Cela s'apparente a priori à un oubli, un bug, puisque l'app n'ignore pas complètement cette possibilité de restreindre les accès (lire aussi iOS 14 : ces nouveautés qui protègent la vie privée de l'utilisateur). On ne voit pas d'autre explication puisque la même opération de personnalisation du profil, effectuée dans Instagram ainsi que dans Signal, montre que ces deux apps s'alignent sur le réglage d'iOS pour l'accès aux photos.

Signal (capture de gauche) et Instagram respectent l'interdiction d'accès aux photos d'iOS lors d'un changement de l'image de profil

Il est à noter enfin que les pages d'Aide de WhatsApp n'ont pas été actualisées depuis la sortie d'iOS 14 afin d'expliquer un peu plus les évolutions apparues dans les réglages de confidentialité.

[MàJ à 13h40] : Ce comportement de WhatsApp est lié à une possibilité du sélecteur de photos d'iOS, comme l'ont souligné des développeurs dans les commentaires. iOS 14 a fait évoluer l'API pour renforcer la sécurité mais une particularité de son fonctionnement, apparue dans iOS 11, subsiste.

Dans le cas décrit pour la modification du profil, le sélecteur de photos d'iOS montre toute la photothèque. Toutefois, dans les faits, WhatsApp n'a aucun accès à celle-ci. D'où l'absence de demande d'autorisation.

La manière dont est conçue l'interface fait qu'on a l'impression que WhatsApp pioche directement dans la photothèque mais le sélecteur fonctionne en dehors de WhatsApp et il se borne à lui transmettre la photo sélectionnée par la personne. Durant l'opération, WhatsApp n'a vu aucune des autres images.

WhatsApp à gauche, le sélecteur de photos d'iOS à droite, les deux processus sont séparés

Les développeurs d'autres apps, comme Instagram ou Signal, cités précédemment, ont visiblement choisi de faire autrement et de ne pas utiliser cette ancienne particularité de l'API. L'avantage, pour l'utilisateur, c'est que n'importe quelle sélection de photo repose sur le même mécanisme, le comportement de l'app est homogène. Merci Siilver77, Nico_Belgium et NicoDFR


Source
Merci Patrick
Tags
avatar 33man | 

What’s??? C’est quoi ça ? Tout le monde est sur signal non ? 😂

avatar raoolito | 

@33man
De ici qu’on découvre des trucs pas possibles sur signal aussi

avatar julien74 | 

Je comprend pas, cela devrait être le boulot de l’API de fournir la liste des photos qui respecte le réglage et donc filtrée, et pas à l’app de récupérer toutes les photos, pour ensuite faire une boucle avec test « ai-je accès à cette photo? alors rajouter à ma liste pour les afficher »

avatar raoolito | 

@julien74
J’ai pensé la même chose

avatar onemorething | 

@julien74

C’est exactement ça que je me demandais 😳 ça n’a aucun sens ??

avatar koko256 | 

@onemorething

À mon avis, c'est une autre API qui ne donne accès qu'à la photo sélectionnée et pas à toutes. Un peu comme quand on partage une photo via une app.

avatar Pyby | 

@julien74

C'est en effet le job d'une API.
L'article est parti un peu trop vite sur l'accusation, dommage mais bien corrigé 🙃

avatar frankm | 

@julien74

L’API fait son boulot. C’est iOS via son utilisateur qui sélectionne une photo ou un fichier dans les photos ou dans les fichiers. L’utilisateur voit tout puisqu’il est légitime. Le sélecteur retourne à l’application tierce un pointeur de fichier à partir duquel elle peut travailler. Mais l’application n’a pas accès au reste, juste au fichier ou photo sélectionné par l’utilisateur

avatar r e m y | 

Et Apple a laissé passer ça lors de la validation??? 😳

Bon, maintenant que ça fait le tour des sites d'actualités , ils vont sans doute réagir en bloquant l'app sur le store, comme chaque fois...

(L'info de silver777 et NicoDFR, plus loin dans les commentaires, expliquerait le comportement de l'app qui serait finalement tout à fait sûr)

avatar Ricobtz | 

Le problème de tout ça c’est que la majorité des utilisateurs de cette appli ne sont pas au courant. Ou s’en foute en pensant qu’ils n’intéressent personne. Alors que ce sont des cibles privilégiées depuis des années.
Espérons que cette fois l’info va passer.

avatar NicoDFR | 

Il me semble que le SDK permet d’afficher un sélecteur de photo sans avoir l’autorisation. WhatsApp n’aura accès à la photo qu’une fois sélectionnée (ce qui vaut le consentement de l’utilisateur).

avatar Siilver777 | 

Alors à confirmer mais mon avis en tant que développeur : iOS 14 propose un nouveau moyen d'accéder aux photos, avec un picker mis à jour et plus complet qui ne nécessite pas de donner l'accès à la photothèque. En réalité, WhatsApp n'a accès à rien ici, c'est un picker isolé du système, n'est transmis que la photo choisie. Ce picker ne nécessite pas de demander la permission car il n'en dépend pas, puisque l'app n'a accès à rien.

Je n'ai pas encore travaillé avec ce nouveau picker, donc si quelqu'un peut effectivement confirmer ça serait cool. Je suis souvent le premier à jeter la pierre à WhatsApp / Facebook mais ils ont peut-être rien fait de mal ici (pour une fois 😂).

avatar raoolito | 

@Siilver777

Haaa et donc ce serait meme un comportement excellent car finalement on aurait pu besoin d’autoriser ou pas une application à accéder aux photos

avatar r e m y | 

@Siilver777

Merci de l'info! Ça expliquerait ce comportement
👍

avatar Nico_Belgium | 

Je seconde ce commentaire, sauf qu'il me semble de mémoire que ce picker n'est pas réellement nouveau.

Il me semble l'avoir déjà utilisé sous iOS13. Le comportement m'avait d'ailleurs surpris à l'époque (car iOS m'avait donné l'autorisation d'accéder a une photo sans devoir demander l'accord de l'user)

Edit: j'ai trouvé la confirmation sur StackOverflow. C'est un comportement "normal" depuis iOS 11 https://stackoverflow.com/questions/48826060/uiimagepickercontroller-not-asking-for-permission

avatar Florian Innocente | 

@Nico_Belgium

Ok je vais mettre à jour.

Par contre les devs des autres apps auront donc décidé de ne pas utiliser cette méthode et de choisir celle d’iOS 14.

avatar Nico_Belgium | 

En fait la différence est assez subtile:

En choisissant la méthode de demande d'autorisation, l'app a accès a l'entièreté (ou aux photos sélectionnées depuis iOS 14) de la librairie et ensuite fait "ce qu'elle veux" avec (elle les sauve, les envoie, les modifie, etc..).

Le picker est nettement plus limité en donnée: il donne accès en "one shot" aux photos sélectionnée par l'utilisateur en lecture seule uniquement et en passant obligatoirement par le sélecteur d'Apple (pas possible donc par exemple de pouvoir montrer les photos les plus récentes pour offrir à l'utilisateur l'option de l'envoyer en un tap).

Donc pas mal de développeurs snobent "volontairement" ce picker de par son manque de flexibilité tout simplement, alors qu'Apple aimeraient bien que seules les apps qui en ont vraiment besoin passent par Photokit (et donc que les autres se contentent du picker). Dans les faits, c'est pas vraiment le cas ^_^

avatar julien74 | 

@Siilver777

Après pour être honnête, cette gestion de l’accès des photos est très lourde à la longue:
Tu as une nouvelle photo, si tu passes pas par le menu de partage de LA photo pour l’envoyer sur what’s app, ça veut dire qu’il faut aller dans les réglages de confidentialité - what’s app - photos, rajouter cette photo, aller dans what’s app, pour faire ajouter une photo et du coup du peux la voir. Qui fait vraiment ça en réel?
Honnêtement, j’ai laissé à what’s app toutes mes photos, car j’ai tenté au départ d’être strict, mais c’était trop chiant au jour le jour.

avatar Diaoulic | 

le problème est bien là, rendre compliqué ce qui devrait être simple, de façon à décourager une démarche de protection de nos données

avatar julien74 | 

@Diaoulic

Oui mais là c’est Apple. Il devrait y avoir dans l interface du photo picker, un bouton « éditer sélection ». Tu cliques, tu ajoutes ou enlèves les photos. Ça permettrait d’éditer cette liste. Que l’édition se passe dans les sous menus de la configuration de l’iPhone, c’est ça qui est lourd.

avatar Diaoulic | 

tout à fait.
Je parlais de notre vie numérique dans sa globalité

avatar Rez2a | 

@julien74

Perso je vois un bandeau en haut de l’écran dans Whatsapp avec un bouton « Gérer » lorsque je souhaite envoyer une photo, et ça permet de sélectionner directement les photos auxquelles je souhaite donner accès sans quitter l’appli.

avatar François31400 | 

@Rez2a

Oui moi aussi mais ça dépend des applications. Dans ce dernier cas c’est plutôt bien fait !

avatar Rez2a | 

@Siilver777

C’est bien ça, c’est d’ailleurs le même mécanisme qui est utilisé dans Facebook Messenger : lorsqu’on veut envoyer une photo, l’appli affiche par défaut les photos auxquelles on a donné accès, et il faut appuyer sur « Gérer » pour afficher le fameux picker qui contient toute la photothèque (mais Messenger n’a accès a rien qu’on n’a pas sélectionné).

Encore heureux qu’une appli ne peut pas en faire qu’à sa tête si l’utilisateur décide de ne pas lui donner accès à la photothèque.

Au passage c’est un changement très bienvenu et qui n’a pas été assez mis en avant d’après moi (la preuve avec cet article), c’était un peu aberrant que les applis aient accès à l’intégralité des photos ou à aucune.

avatar Nico_Belgium | 

Ca n'a pas été mis en avant parce que c'est pas réellement nouveau en fait ^^'

UIImagePicker existe depuis iOS 2, une version "updatée" a été lancée avec iOS14 (PhPicker), mais on pouvait déjà accéder aux photos sans autorisation avec le le premier =)

avatar Krysten2001 | 

@Nico_Belgium

Comment ça ?🤔

avatar Nico_Belgium | 

@Krysten2001

Une version basique du picker en question existait déjà (depuis iOS 2. Donc ça fait un bail :) ) qui ne demande pas l’autorisation pour accéder aux photos depuis iOS 11

Apple a introduit avec iOS 14 un « nouveau » picker qui ne nécessite pas d’autorisation non plus mais permet plus de chose (comme le recadrage par exemple et un design évolué).

avatar Krysten2001 | 

@Nico_Belgium

Ne demande pas l’autorisation ?🤔 C’est à ce point là que je ne comprends pas 😜

avatar Nico_Belgium | 

@Krysten2001

C’est comme ce qu’ils expliquent dans l’article avec la mise à jour en dessous 😉 iOS accède à toute tes photos par l’intermédiaire du picker, l’user choisi une photo, et c’est cette photo et uniquement celle la qui est envoyée à l’app en lecture seule.

Contrairement à l’utilisation de PhotoKit ou la, il faut une autorisation et l’app fait « ce qu’elle veux » des photos auxquelles l’app est autoriser à accéder (en lecture et en écriture)

avatar Krysten2001 | 

@Nico_Belgium

Ok je comprends mieux maintenant, merci 🙏

avatar Baptiste_nv18 | 

@Siilver777

C’est exactement ce que j’allais dire. Je viens d’implémenter ce nouveau sélecteur de photos dans mon application. Pas besoin d’avoir un accès aux photos car l’application « reçoit » les photos sélectionnés par l’utilisateur et n’accède pas à la bibliothèque comme avant.

avatar Nico_Belgium | 

@Siilver777

Pour compléter (parce que du coup j’ai cherché car cette histoire de « nouveau » picker m’intriguais 😅

La « vieille version » disponible depuis quasi aussi longtemps qu’iOS - et sur le point d’être deprecated a l’avenir :

https://developer.apple.com/documentation/uikit/uiimagepickercontroller

Le nouveau picker d’iOS 14

https://developer.apple.com/documentation/photokit/phpickerviewcontroller

Donc la possibilité est ancienne, mais le picker a bien été mis à jour pour encourager la pratique ^_^

avatar Siilver777 | 

@Nico_Belgium

Merci des infos, je pensais que UIImagePickerController demandait toujours les permissions, mais en fait plus depuis iOS 11. Parfait 😁

avatar L.Fire | 

@Nico_Belgium

Update pour les vieux téléphone avec le vieux system peut-être 😉. Il n’y a pas forcément de complot 😅 ... quoi que 🤔.

avatar makeiteasy | 

@Siilver777

C’est plutôt l’inverse. UIImagePickerController qui est l’ancien picker a toujours fonctionné pour l’accès en lecture seule sans permission. Pour ce qui est de l’écriture ou de l’utilisation de PHPicker il faut avoir la permission sinon l’application Crashe tout simplement

avatar monsieurg33K | 

Hier j’ai installé Signal, donné l’accès qu’à une photo que je devais ensuite aller sélectionner une 2nde fois et je voyais pourtant l’ensemble de mes photos comme sur l’exemple WhatsApp dans cet article, donc je ne sais pas si c’est un bug.

avatar MrYOSS | 

Même en supprimant l’accès aux photos de WhatsApp depuis les réglages d’IOS WhatsApp y a encore accès.
Un oublie ça me me paraît trop gros pour une entreprise comme Facebook, qui ADORE nos données personnelles...

avatar reborn | 

Si l’app n’y accède qu’en local et n’upload rien c’est pas trop dérangeant. Je pense plutôt à l’oubli.

avatar makeiteasy | 

@reborn

Non c’est le composant qui est là depuis le début. Le nouveau composant c’est pas pareil mais chacun est libre d’utiliser l’ancien ou le nouveau. En lecture pas besoin de permission

avatar hugome | 

La vraie question, c’est sous quelle condition il est possible d’accéder aux données de géolocalisation présentes dans la photo, et s’il est possible d’empêcher les apps d’y accéder

avatar MarcMame | 

« Cela s'apparente a priori à un oubli, un bug, puisque l'app n'ignore pas complètement cette possibilité de restreindre les accès (lire aussi iOS 14 : ces nouveautés qui protègent la vie privée de l'utilisateur). On ne voit pas d'autre explication »
—————
Sans déconner, vous êtes naïf à ce point ?
Vous n’avez toujours pas compris ?
On parle de Facebook là. Pas d’un petit développeur Serbe étudiant chez ses parents !
Ce n’est pas parce que vous ne voyez pas d’autre explication qu’il n’y en a pas.
Absolument RIEN n’est laissé au hasard chez Facebook (ou n’importe quel GAFAM).
Tout est minutieusement prévu et réfléchi, supervisé, validé et contrôlé 3 fois.
Vous pensiez vraiment qu’ils auraient "oublié" de vérifier les droits de la photo de profil ?

avatar Tibimac | 

Étant dev iOS je confirme ce qui a été dis précédemment, il ne s'agit pas d'un picker personnalisé nécessitant l'accès à la photothèque, c'est un picker de sélection système, une aucune autorisation n'est nécessaire car l'app n'a accès qu'à la ou les photos que vous aurait sélectionnée(s). Et c'est différent de la nouveauté d'iOS 14 qui est d'autoriser l'accès à la photothèque uniquement pour une sélection.

Dans le cas d'iOS 14 avec demande d'autorisation d'accès, l'app peut aller piocher dans tout ou partie de la photothèque (en fonction de ce que vous aurez autorisé) et ce même lorsque vous n'utilisez pas une fonctionnalité liée aux photos. Ainsi si l'app est autorisé à accéder à X photos, si vous modifier les photos par la suite (édition d'une photo par exemple) l'appli pourras sans vous le redemander récupérer la photo modifiée.

Dans le 2ème cas ne nécessitant pas d'autorisation, l'app ne reçoit donc aucune autorisation d'accès mais uniquement la ou les photos que vous avez sélectionné (pour un upload par exemple), c'est du one-shot. Et si vous éditez la ou les photos par la suite l'app ne pourras pas récupérer la version éditée, il vous faudra refaire la manip manuelle de sélection de la photo.

J'espère avoir été clair.
Je n'aime pas WhatsApp mais il faudrait que la rédaction publie un erratum car là on tape par erreur sur WhatsApp qui dans ce cas ne fait rien de mal.

[EDIT] Modif faite par la redac 🙂

avatar Yohmi | 

Pour le coup, je trouve ça beaucoup plus pratique que de devoir sélectionner à chaque fois de nouvelles photos pour les rendre visibles. Par exemple avec WeChat, je n’ai bien évidemment pas envie de partager grand chose avec cet outil d’espionnage déguisé en messagerie multifonction, et du coup si je veux partager une nouvelle photo, il faut que je passe systématiquement par les réglages système tout en étant rappelé par l’app que c’est pas pratique et que je ferais mieux de laisser tout en accès libre.
La solution trouvée pour l’instant c’est d’aller dans Photos et de copier/coller la photo.
Mais une méthode à la whatsapp, avec l’accès à tout pour moi et rien pour eux, c’est autrement plus pratique !

avatar The Joker WSS | 

C’est le comportement normal de l’app « safari » quand on veut uploader un document iCloud Drive ou une photo de la Photothèque Photos. J’ai toujours utilisé ça. Je me suis rendu compte de ça il y a des années déjà sur l’app Facetune, j’ai même contacté le support Apple pour ça.

Hors sujet: j’ai bien aimé la sécurité d’Apple concernant les diffusions/enregistrements d’écran des appareils iOS iPadOS, quand on configure des cartes bancaires dans  Pay ou quand on écrit/affiche un mot de passe trousseau iCloud ou safari, le clavier n’apparaît pas pour les autres dans la diffusion / les numéros de cartes bancaires sont aussi masqués pour ceux qui visualisent la diffusion.

avatar Fredouille14 | 

c’est quoi whatsapp ?
un concurrent à Signal ?
😁

avatar r e m y | 

Ok donc finalement, aucune anomalie à signaler...
Il serait bon de changer le titre de l'article, voire de supprimer carrément l'article, non?

avatar swiftrabbit | 

Donc nouvelle = aucune nouvelle. Faudrait faire un fakemacrumors site

avatar ilenox | 

Go application Olvid, ultra sécurisée

avatar Pyby | 

Merci pour la correction de l'article mais…

Je me permettrai de demander à la rédaction de changer le titre aussi, ou de barrer la négation "ne" et "pas".

L'émoji 🆕 n'est me semble-t-il pas très approprié dans ce cas. Je l'apprécie quand un ajout est apporté à l'information partagée dans l'article.

L'erreur arrive, aucun soucis pour ma part. Mais quand on vient lire l'article 4h après sa publication et qu'il a été corrigé pour infirmer ce qui est écrit dans le titre, c'est dommage de lire encore une "mauvaise" information.

J'apprécie vraiment votre site, mais je me permets cette remarque, car en le lisant pour la 1ière fois, avec la mise-à-jour… c'est une déception.

"IOS 14 : WHATSAPP RESPECTE LES RESTRICTIONS D'ACCÈS AUX PHOTOS DIFFEREMMENT DES AUTRES APPS DE RESEAUX SOCIAUX 🆕", par exemple. 🤷🏻‍♂️

Pages

CONNEXION UTILISATEUR