Le discours d’Apple est clair : « Gatekeeper effectue des contrôles en ligne pour vérifier si une application contient des logiciels malveillants connus et si le certificat de signature du développeur est révoqué ».
Par défaut, MacOs Catalina et les versions ultérieures exigent en effet que les logiciels soient « notariés », afin que vous puissiez être sûr que les logiciels que vous exécutez sur votre Mac ne contiennent pas de logiciels malveillants connus. Avant d’ouvrir pour la première fois un logiciel téléchargé, macOS vous demande votre accord pour s’assurer que vous n’êtes pas induit en erreur en exécutant un logiciel auquel vous ne vous attendiez pas.
Or, selon le chercheur en sécurité Jeffrey Paul, Gatekeeper récupère votre adresse IP, vérifie les certificats développeurs (leur signature) et, en croisant tout cela, pouvait grosso modo savoir où vous étiez, quand et quelles applications vous lanciez à ce moment-là.
Ces affirmations ont été ensuite sérieusement tempérées par l’un de ses pairs, Jacopo Jannone. Apple a rapidement réagi en précisant : « Nous n’avons jamais combiné les données issues de ces contrôles avec des informations sur les utilisateurs d’Apple ou leurs appareils. Nous n’utilisons pas les données issues de ces contrôles pour savoir ce que les utilisateurs individuels lancent ou exécutent sur leurs appareils ».
Collecte des adresses IP
« Il semble en effet que les services notariaux d’Apple n’envoient pas d’informations sur l’application, mais envoient plutôt des informations sur le certificat de développeur utilisé pour les signer (ce qui est plus logique étant donné la façon dont son OSCP « Online Certificate Status Protocol » fonctionne). Cela signifie qu’Apple peut savoir, par exemple, que vous avez lancé une application de Mozilla, mais ne peut pas nécessairement dire si vous avez lancé Firefox ou Thunderbird. Si un développeur ne signe qu’une seule application, bien sûr, on peut établir une corrélation entre le certificat et l’application », explique Tristan Nitot, ancien Président de Mozilla Europe et ancien DG de Qwant et auteur du livre « surveillance:// ».
Par ailleurs, Apple collectait bien les adresses IP mais la marque a cessé de le faire et assure qu’elle va purger de ses bases celles déjà stockées. Elle a aussi actualisé une fiche d’explications sur Gatekeeper (sa version française n’a pas encore été complétée) et ajouté des précisions sur le volet « vie privée » de ce mécanisme de vérification.
« Dans cette affaire, c’est difficile de savoir si c’est intentionnel ou pas, mais je pense que c’était une erreur de la part d’une grosse entreprise comme Apple qui commence à multiplier les lignes de produits et qui, pour tenir les délais, va au plus simple. D’où des boulettes. Précisons qu’avec Android, c’est pire ; c’est une catastrophe pour la protection de la vie privée. De façon générale, renforcer la protection de la vie privée est parfois plus difficile techniquement, car il faut notamment retravailler les algorithmes pour qu’ils soient plus compliqués et mettre en place notamment une infrastructure particulière », précise Tristan Nitot.
L’affaire Cambridge Analytica
Cette affaire remet en lumière la problématique de l’exploitation des données personnelles par les entreprises et en particulier les GAFAM. Et Apple est également concerné puisque le 19 novembre, l’Autrichien Max Schrems (célèbre défenseur de la protection de la vie privée) et l’organisation Noyb (acronyme de « none of your business », un groupe de défense des droits numériques basé à Vienne), ont déposé une plainte contre Apple auprès des autorités espagnoles et berlinoises. Ils accusent la marque d’utiliser les données des utilisateurs d’iPhone sans leur consentement.
« L’exploitation des données personnelles n’est pas toujours bien perçue par le grand public. Il ne s’agit pas juste d’afficher des publicités ciblées. Ces informations peuvent être utilisées à des fins électorales, comme ce fut le cas aux États-Unis avec l’affaire Cambridge Analytica », rappelle Tristan Nitot.
À suivre…
Dans l'actualité
- Agriculture numérique : la protection des données en question
- Visioconférence : des réunions pas toujours privées
- Nos données sont-elles privées en cas d’épidémie ?
- La protection des données personnelles est renforcée en Californie
- Anonymisation des données, une nécessité à l’ère du RGPD
- CCPA : La Californie aura bientôt son RGPD version light
- RGPD : une mise en conformité loin d’être généralisée
- Le RGPD : bientôt un « standard » mondial ?
- L’Europe part en guerre contre le « far-west du numérique »
- Lutte contre la pédopornographie: Apple est-il trop curieux ?
- CyberScore : des codes couleurs pour connaître le niveau de sécurité des sites
- Le Web3 : un concept marketing ou une vraie alternative aux GAFAM ?
Dans les ressources documentaires