Apple voudrait empêcher que les développeurs puissent à nouveau partager des informations sur vos contacts
En modifiant les règles de l'App Store

Le , par Stéphane le calme, Chroniqueur Actualités
Avec une modification des règles pour l’utilisation de sa vitrine de téléchargement, Apple a corrigé une faille peu connue dans App Store qui permettait aux développeurs de récolter des données sur les contacts des utilisateurs iOS, limitant ainsi l'accès de tiers aux sources d'informations personnelles potentiellement non protégées. Les mesures de protection de la vie privée, précédemment annoncées par Apple, s'appliquaient aux propres données de l'utilisateur, mais pas à celles de ses contacts, créant un trésor d'informations pouvant être utilisées individuellement ou via la composition de plusieurs utilisateurs ayant des contacts en commun.

Comme l’a expliqué Bloomberg dans un rapport, les développeurs d'applications iOS ont été autorisés à demander l'autorisation d'un utilisateur pour accéder au carnet d'adresses ou aux données de contact, ce qui a permis d'agréger plusieurs types d'informations sur les amis, la famille et les associés (noms, numéros de téléphone, adresses e-mail, photos de profil, dates de naissance, adresses de domicile et de travail et informations sur la date de création du contact). Ces informations pourraient être transférées pratiquement n'importe où dès qu'un utilisateur donne son autorisation, sans qu'aucun suivi ni aucune autre information ne soit envoyée à Apple.

« Cette décision [de modifier les règles de l’App Store] vient mettre fin à une pratique qui a été utilisée pendant des années. Les développeurs demandent aux utilisateurs d'accéder à leurs contacts téléphoniques, puis les utilisent pour le marketing et parfois partagent ou vendent les informations, sans l'autorisation des autres personnes figurant dans ces carnets d'adresses numériques. À la fois sur iOS d'Apple et sur Android de Google, les plus grands systèmes d'exploitation de smartphones au monde, cette tactique est parfois utilisée pour générer de la valeur et des revenus », a regretté Bloomberg.

Ici, le problème est que, contrairement à l'utilisateur de l'application qui a la possibilité de choisir si ses informations sont partagées, le contact n'est jamais consulté pour une autorisation quelconque, d’ailleurs il ne lui est pas donné la possibilité de supprimer ce partage de ses informations.


Les développeurs peuvent par exemple décider de vendre ces informations aux courtiers de données et tirer parti de la connaissance de vos contacts pour vous faire de la publicité avec des mentions d'amis et de membres de la famille, à l’instar de la fonction « vos amis aiment déjà cette page ». Certains développeurs ont envoyé des messages aux contacts des leurs utilisateurs afin de les aider à créer des bases d'utilisateurs pour leurs services.

Le changement apporté par Apple empêche les utilisateurs de contacter des personnes en utilisant des informations collectées par contact ou par photo, « sauf à l'initiative explicite de cet utilisateur sur une base individuelle ». Les développeurs sont également tenus de fournir une description claire de la manière dont le message de contact apparaîtra au bénéficiaire. Les règles interdisent également aux développeurs de créer, de partager ou de vendre des bases de données d'informations de contact partagées, ainsi que d'utiliser les informations à des fins non divulguées auparavant.

Mais il n'y a aucun moyen de revenir en arrière et de bloquer ou de récupérer les données précédemment partagées. Vous pouvez déconnecter le conduit, tout en gardant à l’esprit que ce qui a été donné aux développeurs est déjà disponible. En effet, après avoir donné la permission à un développeur, un utilisateur d'iPhone peut aller dans ses paramètres et désactiver les autorisations de contacts des applications. Si cela déconnecte le flux de données qui peut être envoyé aux développeurs, cela ne renvoie pas les informations déjà recueillies.

Le Google App Store fonctionne de la même manière. Sur la page d'aide de l'entreprise concernant les autorisations d'application, sous « Important », il est indiqué « Si vous supprimez les autorisations pour une application, cette action ne supprimera pas les informations dont dispose déjà l'application. Cependant, l'application ne peut pas utiliser de nouvelles informations ou prendre des mesures à partir de ce point ».

La différence est que Google reste généralement silencieux sur la façon dont il se sert des données des utilisateurs à des fins publicitaires, tandis que Apple affirme souvent ne pas collecter des informations sur les utilisateurs et encore moins établir des profils utilisateurs. Le fabricant d'iPhone a également déployé des contrôles de confidentialité supplémentaires pour se conformer au RGPD.

« Le partage de données d'amis sans leur consentement est ce qui a mis Facebook Inc dans la tourmente lorsqu’un développeur externe a donné des informations sur des millions de personnes à Cambridge Analytica, le cabinet de conseil politique. Apple a critiqué le réseau social pour cette erreur et d'autres faux pas, tout en annonçant de nouvelles mises à jour de confidentialité pour renforcer sa réputation de protection des données de l'utilisateur. Cependant, le fabricant d'iPhone n'a pas attiré autant d'attention sur le récent changement de ses règles App Store », souligne Bloomberg.

Sources : Bloomberg, Apple

Et vous ?

Que pensez-vous de cette mesure ?
Vous semble-t-elle suffisante ou doit-elle être accompagnée d'une mesure technique ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Marsupi68 Marsupi68 - Membre à l'essai https://www.developpez.com
le 13/06/2018 à 13:52
Alors, si j’ai bien compris... Apple ne se souciait de rien pendant des années et là il s’en inquiète
Mais les informations déjà vendues que vont-elles devenir
Est-ce qu’Apple va demander à ce que les données collectées soient supprimées
Est-ce que
Est-ce que
Est-ce que
Beaucoup de questions, mais auront-elles des réponses
Avatar de Battant Battant - Membre averti https://www.developpez.com
le 13/06/2018 à 17:16
Bonjour,

C’est bien de le reconnaître mais c’est pas suffisant . Je souhaite pour ma part que tout soit réparé . Et que toutes les données revendu soit retracer et tout effacer . Ils avaient pas le droit de le faire il se vanter de ne jamais faire ce genre de choses . C’est vraiment ce qu’on dalle .

Et vous que souhaitez-vous ?

Meilleures salutations
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 14/06/2018 à 10:51
Apple annonce qu'il va améliorer le chiffrement des données sur iPhone,
une mesure qui est loin de plaire aux forces de l'ordre qui le traitent de complice des criminels

Apple a longtemps vanté son iPhone comme étant un dispositif suffisamment sécurisé pour que seul son propriétaire soit à mesure de le déverrouiller. Une vision un peu édulcorée de la réalité qui a quand même tenu l’éditeur d’iOS loin de toutes formes de bug bounty avant son bras de fer avec les forces de l’ordre.

Pour rappel, ces dernières souhaitaient qu’Apple installe un mécanisme qui permette de contourner sa propre sécurité. Apple ayant refusé de le faire, mettant en avant le fait que cela pourrait nuire à la sécurité de ses dispositifs de par le monde, le FBI a fait appel à une entité tierce qui a profité d’une vulnérabilité pour parvenir à son but. Depuis, Apple a décidé de lancer à son tour un Bug Bounty, au même titre que les autres enseignes technologiques.

Pour se positionner à nouveau comme le champion de la sécurité, Apple a annoncé mercredi qu'il allait améliorer le chiffrement des données sur ses iPhone afin de mieux contrer des pirates informatiques ou des policiers trop zélés. Ces nouvelles mesures arrivent à un moment où un nouvel outil appelé GrayKey, que l'on dit capable de déverrouiller les iPhone, commence à se faire une réputation dans les milieux technologiques.

« Nous mettons le client au centre de tout », a expliqué Apple dans un communiqué mercredi. « Nous renforçons sans relâche nos protections de sécurité dans chaque produit Apple pour aider nos clients à se défendre contre les hackeurs »

Le constructeur a confirmé à Reuters la présence d'une fonction qui interdit à un appareil branché sur le port Lightning de l'iPhone ou de l'iPad d'accéder à son contenu si l'utilisateur ne s'est pas identifié dans la dernière heure.

L'option, qui est apparue dans la première bêta d'iOS 11.4.1 et elle est aussi présente dans la préversion d'iOS 12, se trouve dans les réglages Face ID et code, en bas du panneau. En la désactivant, on empêche effectivement la connexion d'accessoires USB si l'iPhone est verrouillé depuis plus d'une heure. Pour Apple, cette fonction permet de couper l'herbe sous le pied aux forces de police et aux agences à acronymes de fouiller dans les données d'un terminal avec l'aide d'un boîtier GrayKey par exemple.


Le boîtier GrayKey qui permet de « casser » les protections de deux appareils iOS à la fois.

Vous voulez déverrouiller un iPhone ? Par là cela ne sera plus possible

Une décision qui semble mettre les forces de l’ordre en colère et qui pourrait bien relancer la question sur le fait de savoir si le gouvernement a le droit d’entrer dans les dispositifs personnels de la vie moderne est désormais relancée.

Avec cette fonction, pour transférer des données depuis ou vers l'iPhone via le port, une personne devra alors entrer le mot de passe du téléphone si celui-ci a été verrouillé depuis plus d’une heure. Un tel changement va gêner les forces de l’ordre, qui ont généralement déverrouillé des iPhones en connectant un autre appareil exécutant un logiciel spécial sur le port, souvent des jours ou même des mois après le dernier déverrouillage du smartphone. Les nouvelles de la mise à jour programmée d'Apple ont commencé à se propager à travers les blogs de sécurité, ce qui a eu pour résultat de mettre en colère de nombreuses agences d'investigation.

« Si nous revenons à la situation où nous n'avons plus d’accès, alors nous aurons perdu tellement de preuves et il y aura tellement d’enfants que nous ne pourrons plus mettre dans une position de sécurité », a déclaré Chuck Cohen, qui dirige un groupe de travail de la police de l'État de l'Indiana sur les crimes sur Internet contre les enfants. La police de l'État de l'Indiana a déclaré avoir débloqué 96 iPhones pour divers cas cette année, chaque fois avec un mandat, en utilisant un appareil de 15 000 $ qu'elle a acheté en mars auprès d'une compagnie appelée Grayshift.

Une décision qui ne fait pas l’unanimité

Cependant, pour les défenseurs de la vie privée, Apple a raison de corriger cette faille de sécurité qui est devenue plus facile et moins coûteuse à exploiter : « C'est une très grande vulnérabilité dans les téléphones d'Apple », a déclaré Matthew D. Green, professeur de cryptographie à l'Université Johns Hopkins. Selon lui, un dispositif de Grayshift sur un bureau dans un poste de police pourrait très facilement se retrouver dans d’autres mains.

Dans un courriel adressé au New York Times, un porte-parole d'Apple, Fred Sainz, a déclaré que l'entreprise renforçait constamment les protections de sécurité et corrigeait toute vulnérabilité détectée dans ses téléphones, en partie parce que les criminels pouvaient également exploiter les mêmes failles. « Nous avons le plus grand respect pour les forces de l’ordre, et nous ne concevons pas nos améliorations de la sécurité pour réduire à néant leurs efforts dans l’amélioration de leur travail ».

Apple et Google, qui développent les logiciels utilisés dans presque tous les smartphones du monde, ont commencé à chiffrer leurs systèmes d’exploitation mobile en 2014. L’objectif est de brouiller les données pour les rendre illisibles, à moins de disposer d’une clé spéciale (qui peut être un mot de passe). Une stratégie qui n’a pas enchanté les forces de l’ordre.


Rappelons d’ailleurs que plusieurs élus de par le monde veulent se battre contre le chiffrement, mettant en avant la dimension sécurité nationale. L’argument est souvent le même : « puisque les terroristes utilisent WhatsApp pour communiquer, alors WhatsApp doit nous permettre de lire les conversations ». Les demandes quant à elles peuvent varier. Certains veulent des portes dérobées, d’autres une utilisation de mécanisme de chiffrement moins efficace.

Une stratégie qui n’est pas nouvelle chez Apple

Il faut préciser que ce n’est pas la première fois qu’Apple ferme des failles dans la sécurité de ses dispositifs. Pendant des années, la police pouvait utiliser la force brute en se servant d’un logiciel qui allait tester toutes les combinaisons possibles de mots de passe jusqu’à ce que le téléphone soit déverrouillé. Apple a décidé alors d’y mettre fin en désactivant les iPhones après un nombre limité de saisis de mauvais mots de passe. Cependant, selon Green, les logiciels Grayshift et Cellebrite semblent pouvoir désactiver cette technologie Apple, permettant à leurs appareils de tester des milliers de codes d'accès.

Les organismes d'application de la loi qui ont acheté un dispositif GrayKey comprennent la Drug Enforcement Administration, qui a acheté un modèle avancé cette année pour 30 000 $, selon les dossiers publics. La police d'État du Maryland en a un, tout comme les services de police de Portland, en Oregon, et de Rochester, au Minnesota, selon les registres.


Apple, défenseur des criminels ? Oui, pour un procureur

Hillar Moore, procureur de Baton Rouge (capitale de la Louisiane), a déclaré que son bureau avait versé à Cellebrite des milliers de dollars pour débloquer des iPhones dans cinq affaires depuis 2017, notamment une enquête sur la mort d'un engagement de fraternité à la Louisiana State University. Il a dit que les téléphones avaient fourni des informations cruciales, et il était contrarié qu'Apple ait prévu de fermer une telle avenue d'investigation utile.

« Ils protègent de manière flagrante les activités criminelles, et seulement sous le couvert de la vie privée pour leurs clients », a-t-il estimé.

Michael Sachs, un procureur de district adjoint à Manhattan, a déclaré que son bureau utilise des solutions de contournement (il a refusé de préciser lequel) pour accéder à des iPhones verrouillés plusieurs fois par semaine. Cela a permis de résoudre une série de cas ces derniers mois, notamment en se connectant à un iPhone pour trouver des vidéos d'un suspect qui agressait sexuellement un enfant. L'homme en question a été condamné cette année.


Le jeu du chat et de la souris

Au cours des dix premiers mois de 2017, le bureau du procureur de Manhattan a déclaré avoir récupéré et obtenu des mandats ou avoir consenti à fouiller 702 smartphones verrouillés, dont les deux tiers étaient des iPhones. Les smartphones exécutant le logiciel Android de Google sont généralement plus faciles d'accès, en partie parce que de nombreux appareils plus anciens ne sont pas chiffrés.

Le chiffrement sur les smartphones s'applique uniquement aux données stockées uniquement sur le téléphone. Des entreprises comme Apple et Google donnent régulièrement aux responsables de l'application de la loi l'accès aux données que les consommateurs sauvegardent sur leurs serveurs, par exemple via le service iCloud d'Apple. Apple a déclaré que depuis 2013, il a répondu à plus de 55 000 demandes du gouvernement des États-Unis à la recherche d'informations sur plus de 208 000 appareils, comptes ou identifiants financiers.

Selon Michelle Richardson, analyste au Centre pour la démocratie et la technologie, qui soutient les protections de la vie privée en ligne, la dernière initiative d'Apple fait partie d'un jeu de chat et de souris entre les entreprises technologiques et les forces de l'ordre.

« Les gens s'attendaient toujours à ce qu'il y ait un va-et-vient. Notamment que le gouvernement puisse hacker ces appareils, puis qu'Apple décide de boucher la faille et que les hackers trouvent une autre solution », a-t-elle déclaré.

Sources : Reuters, New York Times

Et vous ?

Que pensez-vous de cette décision d'Apple ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 15/06/2018 à 10:36
Des experts suggèrent que Grayshift aurait trouvé un moyen de contourner la nouvelle fonctionnalité de sécurité sur iPhone
coup de bluff ou réalité ?

Pour se positionner à nouveau comme le champion de la sécurité, Apple a annoncé mercredi qu'il allait améliorer le chiffrement des données sur ses iPhone afin de mieux contrer des pirates informatiques ou des policiers trop zélés. Ces nouvelles mesures arrivent à un moment où un nouvel outil appelé GrayKey, que l'on dit capable de déverrouiller les iPhone, commence à se faire une réputation dans les milieux technologiques.

« Nous mettons le client au centre de tout », a expliqué Apple dans un communiqué mercredi. « Nous renforçons sans relâche nos protections de sécurité dans chaque produit Apple pour aider nos clients à se défendre contre les hackeurs »

Le constructeur a confirmé à Reuters la présence d'une fonction qui interdit à un appareil branché sur le port Lightning de l'iPhone ou de l'iPad d'accéder à son contenu si l'utilisateur ne s'est pas identifié dans la dernière heure.

Bien entendu, la fonctionnalité n’a pas été applaudie par les forces de l’ordre, car l’accès aux téléphones mobiles allait devenir plus difficile. « Si nous revenons à la situation où nous n'avons plus d’accès, alors nous aurons perdu l’accès à tellement de preuves et il y aura tellement d’enfants que nous ne pourrons plus mettre dans une position de sécurité », a déclaré Chuck Cohen, qui dirige un groupe de travail de la police de l'État de l'Indiana sur les crimes sur Internet contre les enfants. La police de l'État de l'Indiana a déclaré avoir débloqué 96 iPhones pour divers cas cette année, chaque fois avec un mandat, en utilisant un appareil de 15 000 $ qu'elle a acheté en mars auprès d'une compagnie appelée Grayshift.

Hillar Moore, procureur de Baton Rouge (capitale de la Louisiane), a déclaré que son bureau avait versé à Cellebrite des milliers de dollars pour débloquer des iPhones dans cinq affaires depuis 2017, notamment une enquête sur la mort d'un engagement de fraternité à la Louisiana State University. Il a dit que les téléphones avaient fourni des informations cruciales, et il était contrarié qu'Apple ait prévu de fermer une telle avenue d'investigation utile.

« Ils protègent de manière flagrante les activités criminelles, et seulement sous le couvert de la vie privée pour leurs clients », a-t-il estimé.


Le jeu est loin d’être terminé.

Des experts en cybersécurité ont suggéré que Grayshift, la société derrière la technologie utilisée par les forces de l’ordre, n'a pas dit son dernier mot.

« Grayshift s'est donné beaucoup de mal pour tester sa technologie à venir et a déclaré être déjà venu à bout de cette fonctionnalité de sécurité dans la version bêta. En outre, GrayKey a d’autres capacités qui seront exploitées au fil du temps », a déclaré un expert en sécurité même si MB, qui a transmis le message, ne sait pas si cela est vrai ou s’il s’agit juste d’un coup de bluff marketing.

« Ils semblent très confiants quant à leur capacité à rester », a ajouté l’expert.

Un second expert a déclaré que Grayshift a abordé le mode restreint USB dans un webinaire il y a plusieurs semaines. Néanmoins, la nouvelle fonctionnalité d'Apple est toujours alarmante pour les forces de l’ordre.

GrayKey

Le GrayKey lui-même est une petite boîte qui a des câbles pour connecter deux iPhones à la fois. Bien que les détails techniques sur la manière dont GrayKey arrive à contourner les mécanismes de sécurité de l’iPhone ne soient pas disponibles, le GrayKey fait appel à des techniques de forces brutes.


Le boîtier GrayKey qui permet de « casser » les protections de deux appareils iOS à la fois.

Selon les diapositives de l'entreprise, l'appareil dispose de deux stratégies pour accéder aux données sur le téléphone : "Before First Unlock” ou BFU, et "After First Unlock” ou AFU.

BFU est une attaque par « force brute lente », ce qui signifie qu'il faut 10 minutes par essai. Cela donne accès à des « données limitées ». Cela est probablement dû au fait que la stratégie BFU se produit lorsque le téléphone est éteint à la saisi. Si c'est le cas, lorsqu'il est allumé, l'iPhone dispose de la plupart de ses données, y compris les contacts, les messages et autres données personnelles encore cryptées.

L'AFU, quant à elle, est un attaque par « force brute rapide », qui intervient probablement lorsque le téléphone est verrouillé mais qu'il a été allumé puis déverrouillé au moins une fois par le propriétaire. Dans ce cas, il permet 300 000 essais et permet « l'extraction parallèle des données de pré-déblocage ». Si l'AFU fonctionne, GrayKey permet de mettre la main sur « 95% des données de l'utilisateur » qui sont alors « disponibles instantanément ».

Mais le nouveau mode restreint USB d'Apple peut sévèrement limiter ce type d'attaque, car le port Lightning utilisé pour attaquer le téléphone deviendra largement inutile une fois qu’une heure sera passée sans qu’il n’y ait eu un déverrouillage du téléphone.

L'option, qui est apparue dans la première bêta d'iOS 11.4.1 et elle est aussi présente dans la préversion d'iOS 12, se trouve dans les réglages Face ID et code, en bas du panneau.

Source : MB

Et vous ?

Qu'en pensez-vous ? Coup de bluff ou réalité ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac
Avatar de Richard53 Richard53 - Nouveau Candidat au Club https://www.developpez.com
le 19/06/2018 à 23:25
Citation Envoyé par Marsupi68 Voir le message
Alors, si j’ai bien compris... Apple ne se souciait de rien pendant des années et là il s’en inquiète
Mais les informations déjà vendues que vont-elles devenir
Est-ce qu’Apple va demander à ce que les données collectées soient supprimées
Est-ce que
Est-ce que
Est-ce que
Beaucoup de questions, mais auront-elles des réponses
As tu des connaissance sur le langage sql? Si non je te conseille de lire des tutoriels sur le sujet, tu trouveras assez facilement sur le net et même sur ce site.
Mon conseil est de ne pas utiliser les programmes publiquement disponibles pour la collecte de données, et le mieux de tout regarder https://letsextract.com/fr
Contacter le responsable de la rubrique Accueil