Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apple rassure que son navigateur Safari ne partage que les adresses IP, et pas les URL, de certains utilisateurs
Avec ses fournisseurs de services de navigation sécurisée

Le , par Bill Fassinou

129PARTAGES

13  0 
La semaine passée, Reclaim the Net, un site Web de cybersécurité, a déclenché une vague de réactions sur la toile après avoir publié un rapport indiquant qu’Apple partage les adresses IP des utilisateurs d’iOS localisés en Chine avec Tencent Holdings. D’après la rumeur, Tencent serait lié au gouvernement communiste chinois et ne recevrait pas que les adresses IP, mais également d’autres informations de navigation. Apple a réagi à cette rumeur cette semaine en déclarant que l’entreprise ne transmettait pas les URL de Safari à Tencent, mais uniquement les adresses IP.

Un rapport de Reclaim the Net a révélé la semaine passée qu’Apple a ajouté les contrôles Tencent Safe Browsing aux contrôles Google Safe Browsing existants dans son navigateur Web Safari dans le mois de février dernier. « On sait maintenant qu'Apple, qui se positionne souvent comme un champion de la vie privée et des droits de l'homme, envoie les adresses IP des utilisateurs de son navigateur Safari sur iOS au conglomérat chinois Tencent, une entreprise étroitement liée au Parti communiste chinois », mentionne le rapport de Reclaim the Net.

En effet, Safari reçoit une liste de préfixes de hachage d’URL réputées malveillantes de Google ou de Tencent, en choisissant entre eux en fonction du paramètre de région de l’appareil (Tencent pour la Chine, Google pour les autres pays). Les préfixes de hachage sont les mêmes pour plusieurs URL, ce qui signifie que le préfixe de hachage reçu par Safari n'identifie pas de manière unique une URL. Avant de charger un site Web, Safari vérifie si l'URL d'un site Web a un préfixe de hachage correspondant aux préfixes de hachage des sites malveillants.

Ceci représente le cas où la fonctionnalité de Safari "Fraudulent Website Warning" est activée (Avertissement de site Web frauduleux). Si une correspondance est trouvée, Safari envoie le préfixe de hachage à son fournisseur de navigation sécurisé, puis demande la liste complète des URL comportant un préfixe de hachage qui correspond à celui suspect. Lorsque Safari reçoit la liste des URL, il compare l'URL suspecte d'origine à la liste. S'il existe une correspondance, Safari affiche la boîte de dialogue d'avertissement suggérant aux utilisateurs de rester en dehors du site.

Cependant, les contrôles Tencent Safe Browsing permettent aussi à Safari de partager l’adresse IP de certains utilisateurs d’iOS avec Tencent. « Avant de visiter un site Web, Safari peut envoyer les informations calculées à partir de l'adresse du site Web à Google Safe Browsing et à Tencent Safe Browsing afin de vérifier si le site Web est frauduleux. Ces fournisseurs de navigation sécurisés peuvent également enregistrer votre adresse IP », indique la description faite par Apple de la fonctionnalité "Fraudulent Website Warning".


Toutefois, la rumeur s’est très vite répandue que Tencent recevrait également d'autres données de navigation des usagers d’iOS à l’instar des adresses IP. Apple a réagi à ces allégations cette semaine en indiquant que Safari n’envoyait pas les données de navigation, notamment les URL, à Tencent, mais uniquement les adresses IP. Apple a publié une déclaration assurant aux clients que les URL de sites Web ne sont pas partagées avec ses fournisseurs de navigation sécurisés. À noter que Safari utilise à la fois Google Safe Browsing et à Tencent Safe Browsing (ajouté récemment).

« Apple protège la vie privée des utilisateurs et protège vos données avec "Safari Fraudulent Website Warning", une fonctionnalité de sécurité qui signale les sites Web connus pour être de nature malveillante. Lorsque cette fonction est activée, Safari vérifie l'URL du site Web par rapport à des listes de sites Web connus et affiche un avertissement si l'URL que l'utilisateur visite est soupçonnée d’un comportement frauduleux comme du phishing », a déclaré un porte-parole d'Apple dans un communiqué envoyé cette semaine au média The Register.

« Pour accomplir cette tâche, Safari reçoit une liste de sites Web connus pour être malveillants de Google, et pour les appareils dont le code régional est défini sur Chine continentale, il reçoit une liste de Tencent. L'URL réelle d'un site Web que vous visitez n'est jamais partagée avec un fournisseur de navigation sûr et la fonction peut être désactivée », a-t-il ajouté. Apple a rassuré qu’il ne partage que les adresses IP des utilisateurs avec ses fournisseurs de navigation sûrs, mais là aussi, il y a un problème. Les adresses IP peuvent servir à beaucoup de choses.

Une adresse IP peut dévoiler la localisation d’une personne. De plus, elle peut également permettre à celui qui la possède de surveiller un utilisateur à travers plusieurs appareils (ordinateur, smartphone, etc.). Dans un objectif de marketing ou publicitaire, cet aspect est évidemment intéressant, mais avec la Chine et les programmes de surveillance dont elle dispose, cela n’est peut-être pas ce à quoi les gens penseront en premier. La fonctionnalité "Fraudulent Website Warning" de Safari peut être désactivée, mais cela rendra la navigation sur Internet moins sûre.

Certains soulignent des problèmes de confidentialité potentiels liés aux API de navigation sécurisée

La navigation serait moins sûre si cette fonctionnalité est désactivée et d'autres navigateurs comme Firefox, Vivaldi et GNOME l’utilisent d’ailleurs, mais certains ont cependant souligné quelques problèmes de confidentialité potentiels liés aux API de navigation sécurisées telles que celles de Google. Dans un article de blogue publié dimanche, Matthew Green, professeur agrégé d'informatique au Johns Hopkins Information Security Institute (Institut de sécurité des informations Johns Hopkins) a fait quelques remarques par rapport à l’utilisation de ces services.

Matthew Green a déclaré que dans la première version de Safe Browsing (navigation privée) de Google, il s'agissait simplement d'une API de Google qui permettait à votre navigateur d'interroger Google sur la sécurité des URL que vous avez visitées. Comme les serveurs de Google reçoivent l'URL complète, ainsi que votre adresse IP (et éventuellement un cookie de suivi pour éviter tout déni de service), cette première API a été une sorte de cauchemar pour la confidentialité. (Cette API existe toujours, et est supportée aujourd'hui sous le nom de "Lookup API".

Pour répondre à ces préoccupations, Google a rapidement mis au point une approche plus sûre pour « naviguer en toute sécurité ». La nouvelle approche s'appelle "Update API", et elle fonctionne comme ceci :

  • Google calcule d'abord le hachage SHA256 de chaque URL non sécurisée de sa base de données et tronque chaque hachage jusqu'à un préfixe de 32 bits pour gagner de la place ;
  • Google envoie la base de données des hachages tronqués à votre navigateur ;
  • chaque fois que vous visitez une URL, votre navigateur la hache et vérifie si son préfixe 32 bits est contenu dans votre base de données locale ;
  • si le préfixe se trouve dans la copie locale du navigateur, votre navigateur envoie maintenant le préfixe aux serveurs de Google, qui renvoient une liste de tous les hachages 256 bits des URL correspondantes, afin que votre navigateur puisse vérifier la correspondance exacte.


Selon le professeur Green, à chacune de ces demandes, les serveurs de Google voient votre adresse IP, ainsi que d'autres informations d'identification. Il a ajouté qu’il est également possible que Google mette un cookie dans votre navigateur au cours de certaines de ces demandes. L'API de navigation sécurisée ne dit pas grand-chose à ce sujet aujourd'hui, mais selon lui, ce comportement s’observerait déjà en 2012. D’après Green, la faiblesse de cette approche est qu'elle ne fournit qu'une certaine confidentialité. L'utilisateur type ne se contente pas de visiter une seule URL, il parcourt des milliers d'URL au fil du temps.

Ainsi, cela signifie qu'à la longue, un fournisseur malveillant peut avoir beaucoup de possibilités qui lui permettront de désanonymiser cet utilisateur. Un utilisateur qui navigue sur de nombreux sites Web connexes divulguera progressivement des détails sur son historique de navigation au fournisseur. En supposant que le fournisseur est malveillant et peut relier les demandes. À ce stade, l’on estime que le chinois Tencent disposerait des moyens pouvant lui permettre de faire converger les IP récupérés avec celles de ses utilisateurs.

Il a également souligné que Google Safe Browsing “Update API” n'a jamais été exactement sûr. « Son but n'a jamais été d'offrir une confidentialité aux utilisateurs, mais plutôt de dégrader la qualité des données de navigation que les fournisseurs recueillent », a-t-il déclaré. « Dans le modèle de menace de Google, nous (en tant que communauté centrée sur la confidentialité) avons largement conclu que la protection des utilisateurs contre les sites malveillants valait le risque encouru », a ajouté Green.

L’API de Tencent fonctionne-t-elle de la même manière que celle de Google ? Selon Green, Tencent n’est pas Google et l’entreprise chinoise peut bien fournir un service sûr, mais étant lié au gouvernement communiste chinois, il serait probablement très difficile pour les utilisateurs de lui faire confiance. « À tout le moins, les utilisateurs devraient être informés de ces changements avant qu'Apple ne mette la fonctionnalité en production et demande donc à des millions de leurs clients de leur faire confiance », a déclaré le professeur Matthew Green.

Plusieurs personnes pensent qu’Apple s’est illustré en peu de temps en allant à l’encontre de ses valeurs. Selon le professeur Green, on a l'impression qu'Apple est deux sociétés différentes : l'une qui fait passer la liberté de ses utilisateurs en premier (ailleurs dans le monde) et l'autre qui traite ses utilisateurs très différemment (en Chine continentale). Ce dernier se demande si Apple peut naviguer dans ce trouble de la double personnalité tout en conservant son intégrité.

Sources : The Register, Matthew Green

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Le navigateur Safari d'Apple envoie les adresses IP de certains utilisateurs à Tencent en Chine

Tim Cook défend la décision de retirer l'application de Hong Kong Maps (HKmap Live) dans un mail adressé aux employés de la société

Apple censure l'émoji du drapeau taïwanais pour les utilisateurs iOS de la ville de Hong-Kong, mais il y a toujours un moyen de l'utiliser

Blizzard s'exprime sur le bannissement du joueur de Heartstone qui avait déclaré son soutien aux manifestants de Hong Kong et décide de lui remettre sa prime

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de matthius
Membre extrêmement actif https://www.developpez.com
Le 17/10/2019 à 0:08
Falsifier une quelconque URL par une autre déclasse tout navigateur.

Une IP permet de cibler un groupe ou une personne.
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 17/10/2019 à 8:54
Ah ben tiens on dirait que l'info du journaliste de Blomberg était fausse !
0  0 
Avatar de Ehma
Membre actif https://www.developpez.com
Le 17/10/2019 à 10:21
C'est marrant le "Apple bashing", quand ils ne sont pas tout à fait "les méchants" il y a nettement moins de commentaires.
0  0 
Avatar de vxlan.is.top
Membre éprouvé https://www.developpez.com
Le 18/10/2019 à 17:00
Citation Envoyé par Bill Fassinou Voir le message

Plusieurs personnes pensent qu’Apple s’est illustré en peu de temps en allant à l’encontre de ses valeurs. Selon le professeur Green, on a l'impression qu'Apple est deux sociétés différentes : l'une qui fait passer la liberté de ses utilisateurs en premier (ailleurs dans le monde) et l'autre qui traite ses utilisateurs très différemment (en Chine continentale). Ce dernier se demande si Apple peut naviguer dans ce trouble de la double personnalité tout en conservant son intégrité.
Ca, c'est une constante du marché de l'IT en Chine.
Cf les casseroles trainées par Cisco, Google, Juniper, Alcatel, Microsoft, IBM, etc.

Citation Envoyé par Bill Fassinou Voir le message

Une adresse IP peut dévoiler la localisation d’une personne. De plus, elle peut également permettre à celui qui la possède de surveiller un utilisateur à travers plusieurs appareils (ordinateur, smartphone, etc.).
Citation Envoyé par Bill Fassinou Voir le message

Ainsi, cela signifie qu'à la longue, un fournisseur malveillant peut avoir beaucoup de possibilités qui lui permettront de désanonymiser cet utilisateur. Un utilisateur qui navigue sur de nombreux sites Web connexes divulguera progressivement des détails sur son historique de navigation au fournisseur. En supposant que le fournisseur est malveillant et peut relier les demandes. À ce stade, l’on estime que le chinois Tencent disposerait des moyens pouvant lui permettre de faire converger les IP récupérés avec celles de ses utilisateurs.
Le FTTH couvre 90% des zones urbaines en Chine...
Quand tu bootes ton PC, confortablement installé dans ton canapé, ton FAI est capable de te dire dans quel appartement tu crèches. Et là, je ne plaisante pas puisque c'est une anecdote qui m'a été relatée par un ami chinois qui venait juste d'avoir la fibre... Suite à un problème, il appelle son FAI qui lui demande les infos ipconfig et son interlocuteur lui dit "ok, vous êtes bien Mr machin, 3ème étage, appartement 15 ?"
Un jour, il passe une soirée chez le voisin du dessus...
Et en scrutant l'IP acquise sur son PC qu'il avait emmené avec lui, il a rapidement conclu que dans un building avec un "pied d'immeuble" mutualisé, ils distribuent les réseaux privés de façon unique 192.168.1.0/24, 192.168.2.0/24, etc pour un meilleur tracking. Donc grosso merdo, là-bas, donnes-moi ton IP, même privée, je te dirai qui tu es et où tu habites
La frite sur le McDo, c'est que quand il a réceptionné son installation, il a dû signer un papier qui l'engageait à ne jamais communiquer son MdP WPA2 à une personne quelconque en dehors de son foyer familial

Bon, maintenant qu'on sait que l'IP est à 90% désanonymisée en Chine, il suffit effectivement pour un "fournisseur malveillant" (entre guillemets parce qu'ils sont tous maveillants ) de tracker les URL et le deal est fait

-VX
0  0