Le spectre de Big Brother n’est jamais bien loin. Depuis l’annonce mercredi de la découverte d’une fonction permettant de garder sur un dossier non protégé la trace des mouvements des utilisateurs d’Iphone et d’Ipad, la polémique enfle. Le géant de l’informatique Apple piste-t-il ses clients ? Le point avec Matthieu Suiche, fondateur de Moonsols, start-up spécialisée en sécurité informatique.
Quels sont les faits reprochés à Apple ? Des chercheurs britanniques, Alasdair Allan et Peter Warden ont publié mercredi sur le site d'informations spécialisées O'Reilly Radar une étude montrant que l’iPhone et l’iPad 3G "enregistrent régulièrement l'emplacement" des appareils sur un dossier caché dans le système d’exploitation iOS 4.
"Des questions importantes méritant d'être explorées" :
Apple collecte-t-il des données sur ses utilisateurs? "Apple ne collecte pas ces informations", précise Matthieu Suiche. "Elles sont uniquement stockées sur le téléphone dans un fichier appelé consolidated.db". Pour le spécialiste en sécurité informatique, jamais Apple ne se risquerait à collecter ce genre d'informations, une pratique totalement interdite par la loi de l’Etat de Californie, "California State Law" qui stipule qu’aucune personne ou appareil dans cet Etat (la Californie NDLR) n’est autorisé à utiliser un système électronique pour collecter la localisation ou les mouvements d’une personne".
"Nous ne sommes pas sûrs de la raison pour laquelle Apple rassemble ces données, mais c'est de toute évidence intentionnel, car la base de données réapparaît après une opération de sauvegarde, et même après changement d'appareil", affirment pourtant les deux auteurs du rapport , Alasdair Allan et Peter Warden.
"Ce qui rend l'affaire encore pire, c'est que le dossier est non crypté et non protégé, et apparaît sur toute machine avec laquelle il y a eu synchronisation" du téléphone ou de la tablette, ajoutent les deux chercheurs.
Comment fonctionne le fichier consolidated.db ? "Ce fichier est utilisé par plusieurs applications installées sur le téléphone comme l’appareil photo ou les cartes", souligne Matthieu Suiche. Il est utilisé par la "framework", littéralement structure ou boîte à outils, nommée "Core Location". Je suppose qu'une nouvelle entrée est créée dans le fichier à chaque fois que le téléphone se connecte à une nouvelle antenne relais. Elle est explicitée dans la bibliothèque IOS4. Elle collecterait les positions des détenteurs de ces appareils par la triangulation des données fournies par les antennes relais des opérateurs de téléphonie mobile.
Qui a accès à ces données ? Ces données seraient strictement anonymes et ne seraient utilisées que par le géant de l’informatique. "Ces données de position sont collectées anonymement sous une forme qui ne vous identifie pas personnellement et sont utilisées par Apple et ses partenaires et licenciés pour fournir et améliorer des services et des produits reposant sur la localisation", précise Apple dans sa politique de confidentialité. Il peut s'agir d'applications comme Facebook places, Google Maps ou Foursquare mais seulement si l'utilisateur donne son accord.
"Il est uniquement accessible si la personne à la main physiquement sur le téléphone, c'est-à-dire si la personne branche le téléphone à un ordinateur pour le synchroniser", précise Matthieu Suiche.
Est-il possible de supprimer ce fichier ? Pour Matthieu Suiche la réponse est catégorique : "il n’est pas désactivable". Pour éviter tout désagrément, il est cependant possible de crypter les sauvegardes sur iTunes une fois l’appareil connecté à l’ordinateur, note Ecran.
Pour l’instant, on ne sait pas comment se débarrasser des données qui sont à la foi sur l’Iphone et sur l’ordinateur, déplore Jean-Marc Manach sur Europe 1. On peut raisonnablement estimer que d’ici quelques semaines ou quelques mois, soit Apple soit des hackers trouvent un moyen de bloquer cet enregistrement des données de localisation ou de les effacer".
Est-ce un phénomène nouveau ? La découverte d’Alasdair Allan et Peter Warden n’en est pas vraiment une. "Un chercheur, Alex Levinson, avait déjà abordé la question dans une étude présentée en novembre 2010, a Salt Lake City lors de la Paraben Forensics Innovation Conference (PFIC)".
Dès la sortie de l’Ipad en 2010, Alex Levinson s’est saisi du fichier consolidated.db, explique-t-il sur son blog. Un livre intitulé IOS Forensic analysis for iphone, Ipad and Ipod touch, cosigné avec Sean Morrissey, est paru sur le sujet.
De plus, lors du lancement de l’Iphone4, Apple avait clairement évoqué cette question dans sa politique de confidentialité rapporte le site businessmobile.
"Pour fournir des services de localisations sur les produits Apple, Apple et nos partenaires et licenciés peuvent collecter, utiliser et partager des données précises de votre localisation, y compris l'emplacement géographique en temps réel de votre ordinateur ou de votre dispositif". Voici ce qu'on pouvait lire dans sa politique de confidentialité, modifiée en juin 2010.
A chaque installation d'une application de l’Apple store pour l’Iphone ou l’Ipad , l'utilisateur est libre d’accepter ou non la localisation.
Est-ce possible avec d’autres systèmes d’exploitation ? "La même chose est aussi possible avec les téléphones sous Android, probablement aussi pour les autres plateformes", rappelle le fondateur de Moonsols. "En Décembre 2011, un chercheur français, Renaud Lifchitz, a publié un article à ce sujet. Le principe est le même : un fichier est stocké à l'intérieur du téléphone avec la liste des connexions aux dernières antennes téléphones", poursuit-il. "En utilisant les services de Google Maps, on peut retrouver la position géographique et les replacer sur une carte", conclut-il.
Y a-t-il des raisons de s’inquiéter ? "Il est surprenant de voir les gens s'inquiéter à propos de leur localisation géographique alors qu'ils utilisent des services/réseaux sociaux comme Facebook Places, Foursquare, Twitter, qui renseignent leur position géographique en permanence ", relève Matthieu Suiche. De plus, note-t-il, "ils sont beaucoup plus facile à utiliser car ils ne demandent pas un accès physique au téléphone. Ces informations sont donc beaucoup plus faciles à exploiter".