Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le navigateur Safari d'Apple envoie les adresses IP de certains utilisateurs à Tencent
En Chine

Le , par Bill Fassinou

133PARTAGES

20  0 
De nombreuses informations ont commencé à circuler sur Internet à propos des récents agissements de la multinationale américaine vis-à-vis des autorités chinoises. La semaine passée, un rapport de Reclaim the Net a révélé qu'Apple a ajouté les contrôles Tencent Safe Browsing aux contrôles Google Safe Browsing existants dans son navigateur Internet Safari dans le mois de février dernier. Ce qui permet à Safari d’envoyer l’adresse IP et d'autres données de navigation de certains utilisateurs d’iPhone ou iPad au chinois Tencent.

« On sait maintenant qu'Apple, qui se positionne souvent comme un champion de la vie privée et des droits de l'homme, envoie les adresses IP des utilisateurs de son navigateur Safari sur iOS au conglomérat chinois Tencent, une entreprise étroitement liée au Parti communiste chinois », peut-on lire dans le rapport de Reclaim the Net. Apple Inc. a mentionné qu’il envoie les adresses IP de certains de ses utilisateurs à Tencent dans la section « À propos de la confidentialité et de la sécurité » dans les paramètres du navigateur sur les appareils iOS.

Cette section est accessible sur un périphérique iOS en ouvrant l’application Paramètres, puis en sélectionnant « Safari > À propos de la confidentialité et de la sécurité ». À ce stade, Apple a expliqué que, pour s’assurer de la sécurité d’une page Web que vous êtes sur le point de visiter, le navigateur envoie certaines données de navigations, y compris votre adresse IP, à Google Safe Browsing et à Tencent Safe Browsing pour qu’ils effectuent cette vérification. À la fin de la déclaration, il est également mentionné que ces fournisseurs peuvent enregistrer votre adresse IP.

« Avant de visiter un site Web, Safari peut envoyer les informations calculées à partir de l'adresse du site Web à Google Safe Browsing et à Tencent Safe Browsing afin de vérifier si le site Web est frauduleux. Ces fournisseurs de navigation sécurisés peuvent également enregistrer votre adresse IP », indique la description faite par Apple de la fonctionnalité "Fraudulent Website Warning" (Avertissement de site Web frauduleux). Selon le rapport de Reclaim the Net, la fonctionnalité "Fraudulent Website Warning" est activée par défaut sur tous les périphériques iOS.


Tant qu’elle n’est pas retirée, sur un iPhone ou un iPad, Tencent et Google peuvent récupérer les adresses IP des utilisateurs d’appareils iOS. En d’autres mots, cela signifie qu'à moins que les utilisateurs d'iPhone ou d'iPad ne plongent de deux niveaux dans leurs paramètres et le désactivent, leurs adresses IP peuvent être enregistrées par Tencent ou Google lorsqu'ils utilisent le navigateur Safari. Cependant, cela rend les sessions de navigation moins sûres et rend les utilisateurs vulnérables lors de l'accès à des sites Web frauduleux.

En effet, Safe Browsing est un service de liste noire fourni par des tiers comme Google et Tencent qui fournissent des listes d'URL pour les ressources Web qui contiennent des logiciels malveillants ou du contenu de phishing. Les navigateurs Web Google Chrome, Safari, Mozilla Firefox, Vivaldi et GNOME utilisent les listes du service Google Safe Browsing pour vérifier les pages contre les menaces potentielles. Par contre, Apple utilise à la fois les services Google Safe Browsing et Tencent Safe Browsing (qu'il a ajouté récemment) pour les utilisateurs résidant en Chine.

Selon certains commentaires sur Twitter, l’ajout de Tencent comme service Safe Browsing par Apple aurait commencé en février de cette année avec iOS 12.2 bêta. Il utilisait Google Safe Browsing depuis un certain temps. Le problème vient du fait que, mis à part l’adresse IP des utilisateurs, l’on ignore la nature exacte des autres informations envoyées par le navigateur Safari à Google et en particulier à Tencent. Cette pratique de la société vient encore rajouter une couche aux rumeurs qui circulent depuis peu sur les relations entre la Chine et Apple.

D’après d’autres sources, Tencent ne recevrait pas uniquement les informations d'internautes chinois, il pourrait aussi recevoir celles d’autres internautes dans le monde. De plus, Reclaim the Net a mentionné que Safari est non seulement le navigateur par défaut sur les appareils iOS, mais selon de récentes statistiques, il s'agit du navigateur Internet mobile le plus populaire aux États-Unis, avec une part de marché de plus de 50%. Et ce qui pourrait sembler encore plus déroutant, c’est qu'il est presque impossible de vous passer du navigateur Safari sur iOS.

Toujours selon le rapport de Reclaim the Net, vous pouvez tenter de vous passer de Safari en installant un navigateur tiers. Toutefois, si vous affichez une page Web dans une application, elle s’ouvre toujours sous une forme intégrée de Safari appelée Safari View Controller. Par défaut, les liens au sein des applications ouvrent également Safari. Essentiellement, il est très difficile d'éviter d'utiliser Safari sur iOS. L’autre problème dans le fait de voir Tencent récolter ces données, c’est qu’il est étroitement lié au régime chinois, et au Parti communiste du pays.

Tencent est le propriétaire du réseau social chinois WeChat et collaborerait étroitement avec le Parti communiste chinois pour faciliter la censure mise en place par Pékin pour empêcher la diffusion d'informations négatives sur le gouvernement. Tencent est également le propriétaire de l’application de messagerie instantanée QQ. La société disposerait des moyens pouvant lui permettre de faire converger les IP récupérées avec celles de ses utilisateurs. Cela plonge Apple dans une position délicate alors que les récentes critiques envers la société ne se sont pas encore apaisées.

Le comportement de la multinationale américaine soulève plusieurs problèmes au regard des récents événements qui ont eu lieu à Hong Kong. Une adresse IP peut dévoiler la localisation d’une personne. De plus, elle peut également permettre à celui qui la possède de suivre un utilisateur à travers plusieurs appareils (ordinateur, smartphone, etc.). Dans un objectif de marketing ou publicitaire, cet aspect est évidemment intéressant, mais avec la Chine et ses nombreux programmes de surveillance, cela ne serait peut-être pas ce à quoi les gens penseront en premier.

Apple ploie-t-il trop le genou devant la Chine au risque de perdre sa part de marché dans l’Empire du Milieu ? À la demande du gouvernement chinois, Apple a retiré la semaine passée l’application HKmap Live de l’App Store, après l’avoir accepté précédemment. La Chine a accusé l’application de mettre en dangers les policiers et Tim Cook a indiqué dans une lettre la semaine que l’entreprise a reçu des preuves de cela de la part du gouvernement chinois. Bien avant cela, la société avait censuré le drapeau taïwanais pour les utilisateurs d’iOS de la ville de Hong-Kong.

Ailleurs, l’on estime qu’à nouveau, et en peu de temps, l’entreprise dirigée par Tim Cook s’illustre en allant à l’encontre de ses valeurs. Dans sa lettre de la semaine passée envoyée en interne aux employés, Tim Cook a défendu les agissements de la société, mais le patron d’Apple n’aurait pas réussi à mettre tout le monde d’accord sur le sujet.

Source : Reclaim the Net

Et vous ?

Qu'en pensez-vous ?
Apple fait-il trop de compromis avec le gouvernement chinois selon vous ?

Voir aussi

Tim Cook défend la décision de retirer l'application de Hong Kong Maps (HKmap Live) dans un mail adressé aux employés de la société

Apple censure l'émoji du drapeau taïwanais pour les utilisateurs iOS de la ville de Hong-Kong, mais il y a toujours un moyen de l'utiliser

Blizzard s'exprime sur le bannissement du joueur de Heartstone qui avait déclaré son soutien aux manifestants de Hong Kong et décide de lui remettre sa prime

App Store : après les avertissements de la Chine, Apple finit par éjecter l'application HKmap Live qui permet aux manifestants de Hong Kong d'éviter la police

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de blbird
Membre expérimenté https://www.developpez.com
Le 14/10/2019 à 22:05
Apple c'est le mal.
10  1 
Avatar de emilie77
Membre averti https://www.developpez.com
Le 15/10/2019 à 9:18
"champion de la vie privée" ahahahahahhahaha mais vraiment quelqu'un a cru ça?
Apple c'est le mal comme google, facebook, M$ etc. ils respectent seulement le dieu argent
9  0 
Avatar de Franck.H
Rédacteur https://www.developpez.com
Le 15/10/2019 à 10:30
LA question est: y-a-t-il réellement un constructeur ou une société qui protège vraiment les données personnelles ??
7  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 15/10/2019 à 10:51
Citation Envoyé par Franck.H Voir le message
y-a-t-il réellement un constructeur ou une société
Depuis les déclarations de Snowden on sait que les entreprises sont contraintes de collaborer avec le gouvernement US.
Yahoo aurait espionné les emails de ses clients pour le FBI ou la NSA ce qui aurait causé le départ de l’expert en sécurité Alex Stamos pour Facebook
La NSA aurait un plan pour espionner les téléphones Android et aurait encore caché des failles dans UC Browser afin de les exploiter
Des ingénieurs sécurité Google disent « Fuck you » à la NSA, après les révélations du programme d'écoute Muscular
Espionnage : introduction des backdoor par la NSA dans les produits de Cisco
Espionnage : le gouvernement américain a-t-il tenté d’intégrer un backdoor dans Linux ? La réponse de Linus Torvalds laisse planer le doute
Le projet PRISM autorise les fédéraux américains à fouiller nos données stockées en ligne un ancien employé aux renseignements le dévoile
Se basant sur des fuites d'un ancien employé au renseignement américain, l'éditorial américain Washington Post a révélé que l'agence de sécurité nationale américaine (NSA) et le FBI avaient accès aux bases de données de neuf poids lourds sur internet, parmi lesquels Facebook, Google ou même encore plus récemment Apple.
Bon apparemment Linux a résisté, mais c'est plus l'exception que la règle, plus t'es gros, plus on t'obliges à te soumettre.
Si les entreprises collaborent avec les USA elles peuvent collaborer avec la Chine.
3  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 15/10/2019 à 11:35
Il s'est écoulé 6 ans depuis l'affaire Snowden. Donc je spécule sur une aggravation de la situation.
3  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 16/10/2019 à 13:12
Moi perso je m'en fous que le gouvernement me surveille...
Mais il y a des Hongkongais qui préféreraient que Tencent Holdings ne connaisse pas toutes les adresses qu'ils visitent.
Peut-être que des gens de HongKong se méfient des smartphones chinois et qu'ils achètent des produits Apple en se disant que la société ne doit pas collaborer avec le gouvernement chinois.
1  0 
Avatar de sylfraor
Futur Membre du Club https://www.developpez.com
Le 16/10/2019 à 13:32
Citation Envoyé par Ryu2000 Voir le message
Moi perso je m'en fous que le gouvernement me surveille...
Mais il y a des Hongkongais qui préféreraient que Tencent Holdings ne connaisse pas toutes les adresses qu'ils visitent.
Peut-être que des gens de HongKong se méfient des smartphones chinois et qu'ils achètent des produits Apple en se disant que la société ne doit pas collaborer avec le gouvernement chinois.
Tencent ne reçoit pas les URL, il renvoie la liste des URL dangereuses lorsque le navigateur lui demande (ce qui fait que l'adresse IP est transmise à ce moment là). Donc Tencent peut savoir qu'une adresse IP donnée envisage d'aller sur le web, sans plus d'information. Ils sont nombreux à Hong-Kong dans ce cas, manifestant ou pas.
https://twitter.com/markgurman/statu...75355733188608
1  0 
Avatar de sylfraor
Futur Membre du Club https://www.developpez.com
Le 15/10/2019 à 18:46
Concrètement, si vous lisez plus en détail ce dont il s'agit, vous verrez qu'Apple utilise des services (2 dont un chinois) de validation d'URL. Comme le terminal fait une requête vers le service, votre IP peut être logguée lors de l'usage de ce service. De même, lorsque je poste un message sur ce forum, mon IP a été collectée dans les log du site.
Si vous naviguez au travers d'un proxy anonymisant (ou un VPN), ce sera l'IP intermédiaire qui sera stockée, etc.

En fait, conformément à la réglementation sur l'utilisation des données, Apple informe des données transmises à des tiers et je ne vois pas comment transmettre moins que son IP tout en appelant un service.
On peut se dire que le service pourrait être desactivé par défaut mais personne ne l'activerait sauf les utilisateurs avancés, donc le choix n'est pas évidemment liberticide mais plus naturel pour protéger l'utilisateur.

Attention à la volonté de beaucoup de faire le buzz sur un sujet basique.
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 16/10/2019 à 8:57
Citation Envoyé par Bill Fassinou Voir le message
Cette section est accessible sur un périphérique iOS en ouvrant l’application Paramètres, puis en sélectionnant « Safari > À propos de la confidentialité et de la sécurité ». À ce stade, Apple a expliqué que, pour s’assurer de la sécurité d’une page Web que vous êtes sur le point de visiter, le navigateur envoie certaines données de navigations, y compris votre adresse IP, à Google Safe Browsing et à Tencent Safe Browsing pour qu’ils effectuent cette vérification. À la fin de la déclaration, il est également mentionné que ces fournisseurs peuvent enregistrer votre adresse IP.
Pourquoi d'autres informations que l'URL sont envoyés ?
En gros Google Safe Browsing et Tencent Safe Browsing sont des listes noires de site frauduleux, Apple pourrait servir d'intermédiaire entre les le navigateur et ces services (la navigateur enverrait des infos à Apple, mais Apple ne transmettrait que l'URL à Google Safe Browsing).

===
Le truc gênant avec Apple c'est que la société communique sur la sécurité des données (pourtant il y a eu le fappenning (piratage des photos et vidéos du cloud)).
0  0 
Avatar de sylfraor
Futur Membre du Club https://www.developpez.com
Le 16/10/2019 à 12:24
Citation Envoyé par Ryu2000 Voir le message
Pourquoi d'autres informations que l'URL sont envoyés ?
En gros Google Safe Browsing et Tencent Safe Browsing sont des listes noires de site frauduleux, Apple pourrait servir d'intermédiaire entre les le navigateur et ces services (la navigateur enverrait des infos à Apple, mais Apple ne transmettrait que l'URL à Google Safe Browsing).

===
Le truc gênant avec Apple c'est que la société communique sur la sécurité des données (pourtant il y a eu le fappenning (piratage des photos et vidéos du cloud)).
Apple se ferait proxy de toutes ces requêtes ? Ça ferait un sacré volume pour une société dont le métier n'est pas directement le web. (après, je ne sais pas comment ils ont implémenté eux-même le truc).
De fait, l'adresse IP est le truc qu'on transmet un peu partout sur la toile (logique puisque nécessaire) et ne pas vouloir la diffuser, ça demande une action de l'utilisateur final pour mettre en place une solution de reverse proxy / VPN. Aucune possibilité que par défaut on soit protégé contre ça, sauf à espérer que le fournisseur du téléphone fasse passer de son côté 100% de vos échanges (mais je trouverais ça beaucoup plus flippant). Pour le sujet des validations d'URL, on a pas conscience de faire ces requêtes et c'est vrai qu'il faut lire de petites mentions que tout le monde ignore pour savoir qu'on y fait appel (et savoir qu'on fait appel à Tencent dans un pays où Google est bloqué, je pense que tous les chinois utilisant le net ont conscience de ces problématiques).

Après, sur la communication, il ne faut pas mélanger "sécurité" et "confidentialité", même si deux choses sont partiellement liées. Pour moi Apple communique sur la confidentialité (ne pas utiliser nos données à des fins commerciales en particulier) par opposition aux services gratuits où on est le produit. Cela ne signifie pas qu'il ne soit pas vulnérable à des failles de sécurité (tout le monde l'est). Sur la sécurité, ils se gardent pas mal de communiquer (et ils sont pas forcément très pertinents en temps de réponse sur des failles qui leur sont divulguées, grosse faiblesse à mon avis) car vis-à-vis du grand public, mettre en avant un truc que le client prend pour acquis, c'est juste tendre le bâton quand il y a des soucis avérés.

P.S- le fappenning, c'était du piratage de compte icloud mais je crois que ça ne passait par aucune vulnérabilité technique mais par du social hacking (mot de passe récupéré/ trop faible ou fonction récupérer mon mot de passe + question perso trop facile, etc...) donc montrant encore une fois que la faiblesse la plus exploitable n'est pas sur les terminaux mais dans les mains des utilisateurs.

P.P.S- Si vous utilisez un navigateur comme Chrome ou Firefox, peu importe votre OS, il y aura aussi utilisation de Google Safe Browsing et donc des transmissions occasionnelles de votre IP à Google.
0  0