Apple voudrait empêcher que les développeurs puissent à nouveau partager des informations sur vos contacts
En modifiant les règles de l'App Store

226PARTAGES

11  0 
Avec une modification des règles pour l’utilisation de sa vitrine de téléchargement, Apple a corrigé une faille peu connue dans App Store qui permettait aux développeurs de récolter des données sur les contacts des utilisateurs iOS, limitant ainsi l'accès de tiers aux sources d'informations personnelles potentiellement non protégées. Les mesures de protection de la vie privée, précédemment annoncées par Apple, s'appliquaient aux propres données de l'utilisateur, mais pas à celles de ses contacts, créant un trésor d'informations pouvant être utilisées individuellement ou via la composition de plusieurs utilisateurs ayant des contacts en commun.

Comme l’a expliqué Bloomberg dans un rapport, les développeurs d'applications iOS ont été autorisés à demander l'autorisation d'un utilisateur pour accéder au carnet d'adresses ou aux données de contact, ce qui a permis d'agréger plusieurs types d'informations sur les amis, la famille et les associés (noms, numéros de téléphone, adresses e-mail, photos de profil, dates de naissance, adresses de domicile et de travail et informations sur la date de création du contact). Ces informations pourraient être transférées pratiquement n'importe où dès qu'un utilisateur donne son autorisation, sans qu'aucun suivi ni aucune autre information ne soit envoyée à Apple.

« Cette décision [de modifier les règles de l’App Store] vient mettre fin à une pratique qui a été utilisée pendant des années. Les développeurs demandent aux utilisateurs d'accéder à leurs contacts téléphoniques, puis les utilisent pour le marketing et parfois partagent ou vendent les informations, sans l'autorisation des autres personnes figurant dans ces carnets d'adresses numériques. À la fois sur iOS d'Apple et sur Android de Google, les plus grands systèmes d'exploitation de smartphones au monde, cette tactique est parfois utilisée pour générer de la valeur et des revenus », a regretté Bloomberg.

Ici, le problème est que, contrairement à l'utilisateur de l'application qui a la possibilité de choisir si ses informations sont partagées, le contact n'est jamais consulté pour une autorisation quelconque, d’ailleurs il ne lui est pas donné la possibilité de supprimer ce partage de ses informations.


Les développeurs peuvent par exemple décider de vendre ces informations aux courtiers de données et tirer parti de la connaissance de vos contacts pour vous faire de la publicité avec des mentions d'amis et de membres de la famille, à l’instar de la fonction « vos amis aiment déjà cette page ». Certains développeurs ont envoyé des messages aux contacts des leurs utilisateurs afin de les aider à créer des bases d'utilisateurs pour leurs services.

Le changement apporté par Apple empêche les utilisateurs de contacter des personnes en utilisant des informations collectées par contact ou par photo, « sauf à l'initiative explicite de cet utilisateur sur une base individuelle ». Les développeurs sont également tenus de fournir une description claire de la manière dont le message de contact apparaîtra au bénéficiaire. Les règles interdisent également aux développeurs de créer, de partager ou de vendre des bases de données d'informations de contact partagées, ainsi que d'utiliser les informations à des fins non divulguées auparavant.

Mais il n'y a aucun moyen de revenir en arrière et de bloquer ou de récupérer les données précédemment partagées. Vous pouvez déconnecter le conduit, tout en gardant à l’esprit que ce qui a été donné aux développeurs est déjà disponible. En effet, après avoir donné la permission à un développeur, un utilisateur d'iPhone peut aller dans ses paramètres et désactiver les autorisations de contacts des applications. Si cela déconnecte le flux de données qui peut être envoyé aux développeurs, cela ne renvoie pas les informations déjà recueillies.

Le Google App Store fonctionne de la même manière. Sur la page d'aide de l'entreprise concernant les autorisations d'application, sous « Important », il est indiqué « Si vous supprimez les autorisations pour une application, cette action ne supprimera pas les informations dont dispose déjà l'application. Cependant, l'application ne peut pas utiliser de nouvelles informations ou prendre des mesures à partir de ce point ».

La différence est que Google reste généralement silencieux sur la façon dont il se sert des données des utilisateurs à des fins publicitaires, tandis que Apple affirme souvent ne pas collecter des informations sur les utilisateurs et encore moins établir des profils utilisateurs. Le fabricant d'iPhone a également déployé des contrôles de confidentialité supplémentaires pour se conformer au RGPD.

« Le partage de données d'amis sans leur consentement est ce qui a mis Facebook Inc dans la tourmente lorsqu’un développeur externe a donné des informations sur des millions de personnes à Cambridge Analytica, le cabinet de conseil politique. Apple a critiqué le réseau social pour cette erreur et d'autres faux pas, tout en annonçant de nouvelles mises à jour de confidentialité pour renforcer sa réputation de protection des données de l'utilisateur. Cependant, le fabricant d'iPhone n'a pas attiré autant d'attention sur le récent changement de ses règles App Store », souligne Bloomberg.

Sources : Bloomberg, Apple

Et vous ?

Que pensez-vous de cette mesure ?
Vous semble-t-elle suffisante ou doit-elle être accompagnée d'une mesure technique ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
WWDC 2018 : Apple lance WatchOS 5, le nouvel OS de sa smartwatch qui intègre le mode Walkie Talkie, les podcasts, la détection de work-out
Apple tacle Facebook en présentant de nouvelles mesures anti-traçage dans Safari, bientôt la fin du pistage des internautes ?
Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : Apple note la dépréciation d'OpenGL et OpenCL
WWDC 2018 : Apple dévoile Mojave, le nouveau macOS 10.14 qui succèdera à High Sierra et introduit le support des applications iOS sur Mac

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Marsupi68
Nouveau membre du Club https://www.developpez.com
Le 13/06/2018 à 13:52
Alors, si j’ai bien compris... Apple ne se souciait de rien pendant des années et là il s’en inquiète
Mais les informations déjà vendues que vont-elles devenir
Est-ce qu’Apple va demander à ce que les données collectées soient supprimées
Est-ce que
Est-ce que
Est-ce que
Beaucoup de questions, mais auront-elles des réponses
1  0 
Avatar de Battant
Membre averti https://www.developpez.com
Le 13/06/2018 à 17:16
Bonjour,

C’est bien de le reconnaître mais c’est pas suffisant . Je souhaite pour ma part que tout soit réparé . Et que toutes les données revendu soit retracer et tout effacer . Ils avaient pas le droit de le faire il se vanter de ne jamais faire ce genre de choses . C’est vraiment ce qu’on dalle .

Et vous que souhaitez-vous ?

Meilleures salutations
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 25/06/2018 à 1:52
c'est drôle, ne pouvoir rien faire d'autre que lancer une attaque par force brute est synonyme de déblocage de l'iphone ?
0  0 
Avatar de spyserver
Membre averti https://www.developpez.com
Le 25/06/2018 à 11:31
La grande surprise c'est surtout de comprendre pourquoi la méthode est capable de prendre en entrée plus de 6 digits ?
Sans être expert en sécurité, un simple contrôle de surface inhibe ce test et je trouve que le communiqué d'Apple n'est pas forcément des plus rassurant puisque qu'ils expliquent juste qu'un nombre moindre d'entrées est testé, mais ça reste quand même plusieurs pin au lieu d'un seul normalement attendu par chaine envoyé ...
0  0 
Avatar de AoCannaille
Membre émérite https://www.developpez.com
Le 26/06/2018 à 10:18
Citation Envoyé par Aiekick Voir le message
c'est drôle, ne pouvoir rien faire d'autre que lancer une attaque par force brute est synonyme de déblocage de l'iphone ?
ça reste une faille de sécurité si cela prend un temps raisonnable genre une semaine. ça devrait prendre 2 ans pour ne pas être un problème.
Il devrait y avoir des délais entre les essais qui augmentent exponentiellement, c'est ça qui est contourné avec succès.
0  0 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web