Des applications iPhone collectent des données

### Des applications iPhone collectent secrètement des données

>
Des chercheurs en sécurité affirment que des applications telles que Facebook, LinkedIn, TikTok, Twitter et bien d'autres collectent des données de manière surprenante.

Des applications iPhone telles que Facebook, LinkedIn, TikTok et X/Twitter contournent les règles de confidentialité d'Apple pour collecter des données d'utilisateur par le biais de notifications, selon des tests effectués par des chercheurs en sécurité de url=https://www.mysk.blog][Mysk Inc[/url], une société de développement d'applications. Les utilisateurs ferment parfois les applications pour les empêcher de collecter des données en arrière-plan, mais cette technique permet de contourner cette protection. Selon les chercheurs, les données ne sont pas nécessaires au traitement des notifications et semblent liées à l'analyse, à la publicité et au suivi des utilisateurs dans différentes applications et sur différents appareils. Certaines des entreprises concernées ont déclaré que ces résultats étaient inexacts.

>
Il est normal que les applications trouvent des occasions de collecter en douce davantage de données, mais nous avons été surpris d'apprendre que cette pratique est largement répandue

a déclaré Tommy Mysk, qui a mené les tests avec Talal Haj Bakry.

Qui aurait pu savoir qu'une action aussi anodine que le rejet d'une notification déclencherait l'envoi d'un grand nombre d'informations uniques sur l'appareil à des serveurs distants ? C'est inquiétant quand on pense que les développeurs peuvent le faire à la demande.

Ces applications particulières ne sont pas des acteurs malveillants exceptionnels. Selon les chercheurs, il s'agit d'un problème très répandu dans l'écosystème de l'iPhone. Toutefois, les porte-parole de Meta et de LinkedIn ont catégoriquement nié que les données soient utilisées à des fins publicitaires ou autres. Un porte-parole de LinkedIn a déclaré que les données n'étaient utilisées que pour garantir le bon fonctionnement des notifications et que l'entreprise respectait toutes les directives d'Apple à l'intention des développeurs. Apple, TikTok et X/Twitter n'ont pas immédiatement répondu aux questions de Gizmodo pour cet article.

Ce n'est pas la première fois que les tests de Mysk révèlent des problèmes de données chez Apple, qui a dépensé des millions de dollars pour convaincre le monde que "ce qui se passe sur votre iPhone reste sur votre iPhone". En octobre 2023, Mysk a découvert qu'une fonction louée de l'iPhone, censée protéger les détails de votre adresse WiFi, url=https://x.com/mysk_co/status/1717541345223389346][n'était pas aussi privée que le promettait l'entreprise/url]. En 2022, Apple a fait l'objet d'[url=https://gizmodo.com/apple-iphone-privacy-analytics-12-lawsuits-statement-1850077715][une douzaine de recours collectifs/url] après que Gizmodo a rapporté les conclusions de Mysk selon lesquelles Apple recueille des données sur ses utilisateurs [url=https://gizmodo.com/apple-iphone-analytics-tracking-even-when-off-app-store-1849757558][même après qu'ils aient activé un paramètre de confidentialité de l'iPhone[/url] qui promet de "désactiver complètement le partage des données d'analyse de l'appareil".

Ces données ressemblent à des informations utilisées pour la "prise d'empreintes digitales", une technique utilisée par les entreprises pour vous identifier sur la base de plusieurs détails apparemment anodins concernant votre appareil. L'empreinte digitale contourne les protections de la vie privée pour suivre les personnes et leur envoyer des publicités ciblées - et Apple interdit explicitement aux entreprises de le faire. Les iPhones et autres produits Apple disposent de nombreux réglages et règles qui sont censés vous permettre de contrôler quand les entreprises peuvent vous identifier et collecter des données.

Par exemple, les tests ont montré que lorsque vous interagissez avec une notification de Facebook, l'application collecte les adresses IP, le nombre de millisecondes écoulées depuis le redémarrage de votre téléphone, la quantité d'espace mémoire libre sur votre téléphone et une foule d'autres détails. La combinaison de ces données est suffisante pour identifier une personne avec un haut niveau de précision. Les autres applications testées ont recueilli des informations similaires. LinkedIn, par exemple, utilise les notifications pour connaître le fuseau horaire dans lequel vous vous trouvez, la luminosité de votre écran et l'opérateur de téléphonie mobile que vous utilisez, comme l'a montré le test. Mysk a déclaré que LinkedIn recueillait également toute une série d'autres informations qui semblent spécifiquement liées à une campagne publicitaire (un porte-parole de LinkedIn a qualifié cette affirmation d'inexacte).

>
Nous n'utilisons pas les notifications pour collecter des données sur les membres à des fins de publicité ou d'analyse, ni pour le suivi d'appareils ou d'applications différents

a déclaré un porte-parole de LinkedIn.

Les données collectées sont uniquement utilisées pour confirmer qu'une notification a été envoyée avec succès et, de manière transitoire, pour mettre en file d'attente l'expérience de l'application au cas où le membre choisirait de lancer l'application en réponse à la notification, sans jamais être partagées à l'extérieur

Le porte-parole a déclaré que les données ne sont jamais partagées avec l'extérieur.

Meta, qui possède Facebook, a fait une déclaration similaire.

>
Les résultats ne sont pas exacts. Les gens se connectent à notre application sur leur appareil et donnent la permission d'activer les notifications

a déclaré Emil Vazquez, porte-parole de Meta.

Nous pouvons périodiquement utiliser ces informations, même lorsque l'application n'est pas en cours d'exécution, pour nous aider à fournir des notifications opportunes et fiables, en utilisant les API d'Apple. Cela est conforme à nos politiques

Ces informations ne sont pas particulièrement sensibles par rapport à des éléments tels que les données de localisation, mais elles sont précieuses pour la publicité et à d'autres fins. Ce que beaucoup de gens ignorent, c'est que la publicité ciblée et les autres atteintes à la vie privée numérique ont pour but de déterminer votre identité. Les entreprises savent ce que vous faites sur leurs applications, mais elles ne savent pas toujours qui vous êtes, et les données sont beaucoup moins utiles si vous ne savez pas à qui elles appartiennent. Si les entreprises ne peuvent pas vous identifier, elles ne peuvent pas vous cibler avec des publicités.

Apple fournit un numéro d'identification publicitaire spécialement conçu pour faciliter la collecte de données et les publicités ciblées, mais des réglages tels que la commande "url=https://gizmodo.com/how-apple-s-ask-app-not-to-track-prompt-helped-tiktok-1849772915][Ask App Not To Track[/url]" de l'iPhone permettent de bloquer ce numéro d'identification publicitaire. En théorie, cela est censé empêcher les entreprises de rassembler des informations sur vous et votre comportement provenant de différentes applications et d'autres parties de l'internet. Mais l'empreinte digitale est un moyen sournois de continuer à le faire de toute façon.

Les applications peuvent collecter ce type de données lorsqu'elles sont ouvertes, mais la fermeture d'une application est censée interrompre le flux de données et empêcher l'application de fonctionner. Cependant, il semble que les notifications offrent une porte dérobée.

Apple fournit url=https://developer.apple.com/documentation/usernotifications/unnotificationserviceextension][un logiciel spécial[/url] pour aider vos applications à envoyer des notifications. Pour certaines notifications, l'application peut avoir besoin de jouer un son ou de télécharger du texte, des images ou d'autres informations. Si l'application est fermée, le système d'exploitation de l'iPhone la laisse se réveiller temporairement pour contacter les serveurs de l'entreprise, vous envoyer la notification et effectuer toute autre opération nécessaire. La collecte de données repérée par Mysk s'est produite pendant cette brève période.

>
Ils peuvent intentionnellement envoyer une notification à un appareil ciblé afin que l'application démarre en arrière-plan et renvoie des détails

explique M. Mysk. Si une entreprise comme TikTok ou X/Twitter souhaite obtenir rapidement les adresses IP de 100 000 personnes dont l'application est fermée, il suffit d'envoyer une notification rapide. "C'est époustouflant", a-t-il déclaré.

Il est tout à fait raisonnable qu'une application veuille analyser la façon dont les utilisateurs interagissent avec les notifications afin d'optimiser ses services. Cependant, selon Mysk, il y a quelques raisons de penser que ce n'est pas la raison pour laquelle les applications collectent ces données.

>
u]D'une part, [url=https://developer.apple.com/notifications/][Apple fournit directement[/url] aux développeurs d'applications des détails sur ce qui se passe avec les notifications. Il n'est donc pas nécessaire de collecter des informations supplémentaires si vous savez ce qui s'est passé après avoir envoyé un message à vos utilisateurs. En outre, de nombreuses données collectées par les applications ne semblent pas liées à l'analyse du fonctionnement des notifications, comme l'espace disque disponible sur votre téléphone ou le temps écoulé depuis votre dernier redémarrage[/u]

a déclaré Mysk.

En outre, d'autres entreprises avides de données envoient des notifications sans se régaler de toutes ces autres informations. Lorsque Mysk a testé Gmail et YouTube, par exemple, les applications n'ont collecté que des données manifestement liées au traitement des notifications. Selon Mysk, si une entreprise comme Google peut vous envoyer une notification sans fouiller dans d'autres détails, cela suggère que la collecte de données qu'il a repérée a des arrière-pensées.

Il existe quelques explications potentiellement innocentes au problème des données de notification. Par exemple, les développeurs laissent parfois dans leurs applications d'anciens codes qui exécutent des fonctions dont les entreprises n'ont plus besoin. Il est théoriquement possible qu'une application comme LinkedIn soit configurée pour collecter des données qui ne sont utilisées à aucune fin. Les chercheurs ont toutefois déclaré qu'il était difficile d'y croire.

Une modification prochaine des règles du système d'exploitation de l'iPhone pourrait améliorer la situation, mais il n'est pas certain qu'elle résoudra le problème. À partir du printemps 2024, les développeurs d'applications url=https://developer.apple.com/documentation/bundleresources/describing-use-of-required-reason-api][devront expliquer pourquoi et comment[/url] ils utilisent certaines "API" qui, dans ce contexte, sont essentiellement des éléments de logiciel que les applications utilisent pour communiquer entre elles et avec le système d'exploitation de l'iPhone.

En théorie, cela pourrait obliger les entreprises à divulguer les raisons pour lesquelles elles vous surveillent et, si elles collectent des données à des fins illégitimes, elles devront peut-être cesser de le faire.

>
La mauvaise nouvelle, c'est qu'on ne sait pas exactement comment Apple va faire appliquer cette loi

a déclaré M. Mysk.

Malheureusement, vous avez peut-être entendu dire que les grandes entreprises mentent parfois, ce qui ferait obstacle à cette solution, et Apple n'a pas un bilan brillant en ce qui concerne l'application de règles similaires.

Source : url=https://gizmodo.com/iphone-apps-can-harvest-data-from-notifications-1851194537][Gizmodo[/url]

Publié le [b]25 Janvier 2024[/b] par Thomas Germain