Apple traque les utilisateurs d'iPhone et d'iPad
Sans leur permission, une application permet de visualiser l'étendue des données collectées

Le , par Idelways, Expert éminent sénior
Mise à jour du 05/05/2011 par Idelways

Apple sort la version 4.3.3 d'iOS, son système d'exploitation mobile pour iPhone et iPad, une version dédiée exclusivement à la correction de ce que l'entreprise qualifie de « bogues » de localisation à l'origine de beaucoup de tapage médiatique et d'inquiétudes (pour plus d'informations lire ci-devant)

Comme annoncée préalablement, cette mise à jour corrige trois comportements polémiques du fichier « consolidated.db ».
Son cache est désormais limité à une taille qu'Apple n'a pas encore communiquée, il ne sera plus synchronisé aux ordinateurs par iTunes et sera entièrement vidé dès que l'utilisateur désactive les options de localisation.

Il faut toutefois attendre une prochaine version majeure d’iOS avant que cette base de données de cache ne soit entièrement chiffrée.



Apple avait expliqué, dans son mea culpa de la semaine passée, les raisons d'être de ce fichier tout en niant en bloc tout traçage des utilisateurs.
L’entreprise collecte (comme font Google, Microsoft et d'autres opérateurs) une base de données des positions des points d'accès Wi-Fi et des relais téléphoniques pour accélérer la détermination de la position de l'utilisateur (crowdsourcing).

Pour réduire les appels au serveur et l'utilisation du GPS gourmand en énergie, Apple engrangeait (sans jamais vider) des portions de sa base de données dans l'iPhone (ou iPad) de la région où se trouve l'utilisateur.

iOS 4.3.3 est proposée en mise à jour automatique sur iTunes dès que l'appareil est branché à l'ordinateur.
Cette version peut être appliquée aux iPhone 4 GSM et CDMA, iPhone 3GS, iPad 2, iPad et la troisième et quatrième génération des iPod touch.

Reste à savoir si cette mise à jour, plutôt rapide, épargnera à Apple les critiques, attaques en justice et enquêtes des autorités.

Des pays membres de l'Union européenne envisagent en tout cas de sanctionner Apple.

Et vous ?

Que pensez-vous de la gestion par Apple de cette crise ?
L'entreprise a-t-elle été lente ou réactive d’après vous ?

Apple répond officiellement sur le problème de la localisation
Reconnaît des torts et s'engage à corriger « les bogues » d'iOS

Mise à jour du 27/04/11

Co-écrit avec Marcos Ickx

Apple vient de répondre officiellement à toutes les questions que posait l'affaire du traçage des utilisateurs d'iPhone et d'iPad (lire ci-avant).

Le Responsable des Rubriques Mac et iOS de Développez a décortiqué pour nous cette réponse publiée par Apple sous la forme d'un Question-Réponse (comme Microsoft pour Windows Phone 7).

Avec ce document, Apple reconnaît l’existence d'un fichier constitué à partir des données de localisation des utilisateurs. La société reconnaît également :
  1. que cette base de données devrait au moins être chiffrée,
  2. qu'il n'y avait aucune raison de la recopier sur le PC/Mac via iTunes lors de la synchronisation
  3. que la mise à jour du cache ne devrait plus se faire une fois le service de localisation désactivé
  4. qu'il n'y a aucune raison de ne jamais nettoyer ce cache
  5. que le cache sera dorénavant limité à 7 jours

Un mea culpa tout à l'honneur d'Apple qui nie cependant en bloc le fait qu'il traçait les utilisateurs d'iPhone puisque cette base de données ne contient jamais la position exacte de l'endroit où se trouve la personne.

Mais Apple ne se contente pas de reconnaître les faits. Il s'engage également à tirer les leçons de cette situation en sortant un update d'iOS dans les semaines qui viennent.

Cette mise à jour mettra fin au back-up du cache (« consolidated.db » ne sera plus transféré sur le PC) et surtout le cache sera intégralement effacé quand les services de localisation seront désactivés (reste à savoir si la localisation sera activée par défaut ou nécessitera un "opt-in").

Autre engagement, le fichier polémique sera entièrement chiffré dans la prochaine mis à jour majeure de iOS.

Les explications sur les raisons qui ont amené Apple à créer puis à laisser un tel fichier sensible en clair sur ses appareils sont beaucoup moins convaincantes. « Le fait que l'iPhone garde tant de données est un bug ». A la question « Pourquoi quand je désactive la localisation mon iPhone continue-t-il à mettre à jour la base de données », Apple répond à nouveau (ou plutôt se répond à nouveau) en un seul mot : bogue.

Apple résume donc cette histoire de cache à une série de bogues.

Peut-être un peu léger comme argument. Mais l'essentiel n'est-il pas de reconnaître ses fautes ?

Et de les corriger.

Source : FAQ d'Apple

Et vous ?

Que pensez-vous de cette réponse d'Apple : louable, tardive, très bonne ou très mauvaise ?

MAJ de Gordon Fowler et Marcos Ickx

Apple poursuivi en justice pour le traçage de ses utilisateurs
Une procureur somme Apple et Google de s'expliquer officiellement

Mise à jour du 26/04/11

Dans la continuité de l'affaire du traçage des utilisateurs, deux possesseurs d'iPhone et d'iPad viennent de porter plainte contre la société.

La plainte explique que ces utilisateurs n'étaient pas au courant du suivi de leurs déplacements au travers de leurs smartphones et de leurs tablettes. Et surtout qu'ils n'ont jamais autorisé Apple à collecter ces informations les concernant.

« Si Apple veut suivre les déplacements de ses utilisateurs, il aurait dû obtenir le consentement spécifique et informé » soulignent les plaignants, qui pensent être rapidement rejoints par d'autres possesseurs et former ainsi une class-action (plainte collective).

La procédure pourrait cependant s'arrêter si Apple s'engageait à retirer cette fonctionnalité et le fichier « Consolidated.db » (lire ci-avant) dans les prochaines versions de iOS.

Dans le même temps, la procureur général de l'Illinois (General Attorney) exige des explications de la part d'Apple, mais également de Google puisque, rappelons-le, Android est également concerné par cette affaire.

« Je veux savoir si les consommateurs ont été informés de ce qui fait l'objet d'un suivi et de ce qui est stocké par Google et par Apple et si ces fonctions de suivi et de stockage peuvent être désactivées. Il est important que ces entreprises s'assurent que les informations privées de leurs utilisateurs sont protégées », écrit Lisa Madigan.

Cette demande, très appuyée, s'ajoute à celles formulées dès la semaine dernière par le Représentant du Massachusetts, d'un sénateur démocrate et du porte-parole du Ministère allemand de la Protection des Consommateurs.

Ce week-end, Apple et Google se sont défendus de telles pratiques. Reste à convaincre les pouvoirs publics et, à présent, la justice.

Sources :
Bloomberg
Lettre du General Attorney de l'Illinois

MAJ de Gordon Fowler

Traçage des utilisateurs d'iOS : l'affaire prend de l'ampleur
Android également concerné

Mise à jour du 22/04/11

L'affaire du traçage des utilisateurs d'iPhone et du fichier « Consolidated.db » (lire ci-avant) prend de l'ampleur. Les questions sur l'enregistrement constant des coordonnées de géolocalisation de l'appareil et, à l'opposé, les critiques contre l'étude qui l'a découvert se multiplient. Tout comme les questions.

La première, qui revient chez tous les observateurs, est de savoir si cette base de données SQLite est communiquée à Apple ? Non, répondent les uns. A priori oui, disent d'autres - puisqu'Apple se servirait de ces informations pour améliorer son service. Et si ce fichier n'est jamais transféré, alors à quoi peut-il bien servir ?

En vérité, seul Apple sait si et quand il a accès à « Consolidated.db », un nom qui met le feu aux poudres. Les accusations de « fan-boys » et de « anti-Apple » fusent, sans, d'ailleurs, vraiment aborder le fond du problème.

Certains tentent par exemple de discréditer l'étude et l'article du Guardian en relevant (à juste titre néanmoins) que O'Reilly a publié les recherches d'un autre. Et ne serait donc qu'un repère d'amateurs anti-Apple.

Les contre-offensives les plus intéressantes ne s'abaissent pas à ces attaques et relèvent plutôt que Apple ne s'est jamais caché de collecter des données (notamment la localisation de ses utilisateurs).

Apple s'en était même expliqué devant le Congrès américain. Mais la société avait bien pris soin de ne pas communiquer le détail de sa méthode de collecte. Et surtout, elle n'avait pas annoncé que le fichier était créé - quoiqu'il arrive – en local sur l'appareil et sans aucun chiffrement. Ce dernier point étant certainement le plus polémique de toute cette affaire.

D'autres analyses intéressantes relativisent la « découverte » de O'Reilly en soulignant que la précision du traçage ne serait pas si pointue et que l'enregistrement des données ne serait pas continue (l'appareil pourrait de manière périodique ne rien enregistrer pendant plusieurs heures, jours, voire semaines).

Pas suffisant néanmoins pour éviter l'emballement. ABC News révèle par exemple que si ce type de fichier a des détracteurs, il a aussi de fervents supporteurs. Par exemple la police du Michigan, qui apprécie particulièrement que des données soient stockées en clair sur des téléphones de suspects.

Chacun se fera son opinion sur la pertinence de ces informations et sur celle des « contre-feux ». Une chose est sûre, ces arguments n'empêchent pas les demandes d'explications de devenir de plus en plus insistantes face à un Apple silencieux. Le Représentant du Massachusetts et un sénateur démocrate ont par exemple fait parvenir un courrier à Steve Jobs pour lui demander des précisions, entre autre sur la possible mise hors-service de ce traçage.

En Allemagne, c'est un porte-parole du Ministère allemand de la Protection des Consommateurs qui somme Apple de s'expliquer.

Mais l'on aurait tort de croire que cette affaire ne concerne qu'Apple.

Un deuxième chercheur souligne aujourd'hui, et encore dans le Guardian, qu'Android fait à peu près la même chose que l'iPhone.

Là encore, les questions pleuvent : pourquoi stocker ces informations en local L'utilisateur est-il prévenu ? Comment ? Peut-on désactiver l'enregistrement ? Les informations sont-elles transmises ? Pour quoi faire ?

La manipulation pour accéder au fichier polémique semble moins triviale. Mais une application semblable à iPhone tracker est tout de même disponible pour extraire ces données sensibles des appareils sous Android (pour les utilisateurs qui voudraient faire le test, l'application est téléchargeable ici).

Bref, l'affaire pourrait assez vite se transformer en un important scandale, surtout si Apple et Google se refusent à expliquer « le pourquoi du comment ». Ce qui ne manquerait pas de nourrir la suspicion.

Sources :

Les analyses de Alex Levinson et de Will Clarke qui répondent à l'étude de O'Reilly

Compte-rendu du passage d'Apple devant le congrès (PDF)

Reportage de ABC sur l'utilisation policière des données des smartphones

Lettre du Représentant du Massachusetts à Steve Jobs (PDF)

Reuters repris par l'Usine Nouvelle (Berlin veut des explications)

Android est aussi concerné, selon The Guardian et le Wall Street Journal

MAJ de Gordon Fowler

iOS 4 : Apple traque les utilisateurs d'iPhone et d'iPad sans leur permission
Une application permet de visualiser l'étendue des données collectées

Des chercheurs viennent de découvrir que les iPhone et iPad 3G sous iOS 4 (et versions supérieures) enregistrent constamment les coordonnées de géolocalisation de l'appareil (et de leur propriétaire donc) accompagnées de la date et de l'heure exacte de leur collecte. Le tout est enregistré dans un fichier caché unique nommé « Consolidated.db » (base de données SQLite)

Et bien entendu, sans la moindre permission de la part des utilisateurs...

Cette découverte, qui ne manque pas de susciter de vives réactions sur la toile, est d'autant plus effrayante que ses implications peuvent être parfaitement illustrées pour chacun avec iPhone Tracker, une application open source qui dresse sur une carte tous les déplacements de l'utilisateur.

Des déplacements qui peuvent remonter pour certains jusqu'au mois de juin passé, date de sortie de l'iOS 4.

http://vimeo.com/22608787

Pire, le fichier en question n'est ni chiffré ni protégé. Une copie sommeille aussi à coup sûr dans l'ordinateur avec lequel l'utilisateur synchronise son appareil, représentant ainsi de sérieuses menaces sur la protection de la vie privée de millions de personnes.

Ceux qui partagent le même ordinateur peuvent donc y accéder facilement avec une recherche avancée, mais à la portée de tous. En cas de vol de l'appareil, un simple Jailbreak suffit à dévoiler tous les périples de l'utilisateur à de parfaits inconnus.

Les coordonnées collectées ne semblent toutefois pas toujours précises, l'emplacement est vraisemblablement déterminé par triangulation à partir des signaux des relais téléphoniques et non pas par GPS.

Aucun indice ne prouve toutefois que cette base de donnée est transmise à Apple ou à des tiers.

Les opérateurs téléphoniques disposent de base de données similaires, où sont gardés durant des mois les divers emplacements passés de leurs clients. Mais y accéder nécessite une ordonnance d’un tribunal.

Maintenant, et grâce à Apple, ces données sont à la portée de tous les pique-pocket.



Apple n'a pas encore réagit à cette découverte ni expliqué le pourquoi d'un tel fichier « Consolidated.db ».

iPhone tracker est disponible en téléchargement sur cette page

Source : O'Reilly

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de sgamel sgamel - Membre éprouvé http://www.developpez.com
le 21/04/2011 à 15:28


Bon OK Apple stocke votre localisation et ce fichier est aussi stocké sur votre ordinateur! Waou, quelle surprise!

Non franchement. Un peu de sérieux. Les conditions d'utilisation du Store ont été mises à jour en juin dernier et cette information n'a pas été secrète!

Vous êtes étonnés que le fichier soit transmis à Apple? Qu'il soit stocké sur votre disque dur?

Autant arrêter d'utiliser vos téléphones, votre CB ou de surfer sur internet non?
Avatar de FxIzeL FxIzeL - Membre actif http://www.developpez.com
le 21/04/2011 à 15:47
Citation Envoyé par Idelways  Voir le message
Les opérateurs téléphoniques disposent de base de données similaires, où sont gardés durant des mois les divers emplacements passés de leurs clients. Mais y accéder nécessite une ordonnance d’un tribunal.

@Sgamel: Je trouve qu'il y a une très grande différence entre des cas juridiques et M. ToutleMonde qui peut avoir accès à ces informations.
Là, il y a vraiment 0 protection sur des données privés.

J'espère qu'on nous cache pas un truc pareil sur Android. Bon avec le code source libre on le voit tout de suite.
Avatar de baxou087 baxou087 - Membre habitué http://www.developpez.com
le 21/04/2011 à 16:15
Citation Envoyé par FxIzeL  Voir le message
J'espère qu'on nous cache pas un truc pareil sur Android. Bon avec le code source libre on le voit tout de suite.

Code source libre ne veut pas dire documenté, ni même facile à lire, ni même que les bouts de codes suspects vont s'allumer comme des lucioles quand on les regarde. T'as déjà vu des voleurs hurler à la police : "Ohé on est là!"

Après certes c'est moins facile de planquer ce genre de code dans de l'open-source (quoi que...), mais c'est pas impossible.
Avatar de Eikichi Eikichi - Membre du Club http://www.developpez.com
le 21/04/2011 à 16:18
Intéressant article (en Shakespearois) : https://alexlevinson.wordpress.com/2...ing-discovery/
Avatar de Camille_B Camille_B - Membre confirmé http://www.developpez.com
le 21/04/2011 à 16:43
Code source libre ne veut pas dire documenté, ni même facile à lire, ni même que les bouts de codes suspects vont s'allumer comme des lucioles quand on les regarde. T'as déjà vu des voleurs hurler à la police : "Ohé on est là!"

Le code source d'Android est libre, mais rien n'empêche un constructeur d'ajouter discrètement la fonctionnalité sur son mobile
Avatar de Faereth Faereth - Membre actif http://www.developpez.com
le 21/04/2011 à 17:10
Citation Envoyé par Eikichi  Voir le message
Intéressant article (en Shakespearois) : https://alexlevinson.wordpress.com/2...ing-discovery/

Article assez intéressant en effet, c'est quand même bizarre que ces deux chercheurs n'est pas plus fouillés avant d'annoncer cette "découverte" (qui en est quand même une pour moi au fond )
Avatar de berceker united berceker united - Expert confirmé http://www.developpez.com
le 21/04/2011 à 17:25
Citation Envoyé par sgamel  Voir le message


Bon OK Apple stocke votre localisation et ce fichier est aussi stocké sur votre ordinateur! Waou, quelle surprise!

Non franchement. Un peu de sérieux. Les conditions d'utilisation du Store ont été mises à jour en juin dernier et cette information n'a pas été secrète!

Vous êtes étonnés que le fichier soit transmis à Apple? Qu'il soit stocké sur votre disque dur?

Autant arrêter d'utiliser vos téléphones, votre CB ou de surfer sur internet non?

Je crois que tu saisis pas la porté de la chose. Un téléphone n'a pas pour rôle de stocker les informations concernant vos déplacements. Encore moins, l'envoyer à une société tiers. C'est pas pareille que l'opérateur téléphonique qui elle, pour des raisons technique et légal, stock l'information de vos déplacement.
Je terminerais par ceci : C'est pas parce que c'est indiqué dans le contrat d'utilisation que c'est forcément légal.
Avatar de Camille_B Camille_B - Membre confirmé http://www.developpez.com
le 21/04/2011 à 17:29
Article assez intéressant en effet, c'est quand même bizarre que ces deux chercheurs n'est pas plus fouillés avant d'annoncer cette "découverte" (qui en est quand même une pour moi au fond )

Oui l'article est intéressant, mais il reste le problème de la protection de ce fichier qui est... nulle. Un fichier texte même pas crypté !
Avatar de Faereth Faereth - Membre actif http://www.developpez.com
le 21/04/2011 à 17:34
Citation Envoyé par Camille_B  Voir le message
Oui l'article est intéressant, mais il reste le problème de la protection de ce fichier qui est... nulle. Un fichier texte même pas crypté !

C'est assez hallucinant en effet. Surtout que récupérer ce fichier via une app trafiqué ne doit pas être bien dur...
Avatar de bugsan bugsan - Membre confirmé http://www.developpez.com
le 21/04/2011 à 17:35
Citation Envoyé par sgamel  Voir le message


Bon OK Apple stocke votre localisation et ce fichier est aussi stocké sur votre ordinateur! Waou, quelle surprise!

Non franchement. Un peu de sérieux. Les conditions d'utilisation du Store ont été mises à jour en juin dernier et cette information n'a pas été secrète!

Vous êtes étonnés que le fichier soit transmis à Apple? Qu'il soit stocké sur votre disque dur?

Autant arrêter d'utiliser vos téléphones, votre CB ou de surfer sur internet non?

Pour les cartes bleues, on le sait que toutes les transactions sont loggées/historisées.
Pour internet, c'est pareil, la loi autorise de garder les traces pendant plusieurs années. Il me semble même qu'elle oblige à les garder au moins 3 mois.
Dans le cas présent, le problème c'est surtout que personne n'est au courant.

Cela dit, il ne faut pas s'alarmer. Les services secrets français ou étranger s'en moquent totalement de savoir que vous êtes allé à Carrefour ou Auchan le 18 Octobre 2010. Mais imaginez tout ce que peut en tirer un Etat qui aimerait restreindre la liberté d'expression, de réunion, etc ...
Offres d'emploi IT
Ingénieur LAMP / PHP (H/F)
Atos - Provence Alpes Côte d'Azur - Sophia Antipolis
Développeur ninja ASP.NET fullstack H/F
Urban Linker - Ile de France - Paris (75000)
Assistant chef de projet web (H/F)
Dassault Systèmes SE - Ile de France - Vélizy, DS SE Campus

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil