Des chercheurs en cybersécurité du Trinity College de Dublin, en Irlande, ont partagé un rapport dans lequel ils affirment que les téléphones Android et iOS sont très peu sécurisés, mais constituent également un cauchemar en matière de protection de la vie privée. Le rapport va plus loin en affirmant que bien les iPhone donnent l'impression d'être plus respectueux de la vie privée, ils collectent plus de types de données privées que les téléphones Android. Un autre point important, l'iPhone et le téléphone Android utilisés pour les tests partagent tous deux des données avec Apple et Google toutes les 4,5 minutes.Google et Apple collectent une grande quantité de données
Le rapport en question a été partagé par des scientifiques du Trinity College de Dublin en mars dernier. Dans le cadre de leur étude, ils ont examiné quelles données un iPhone partage avec Apple et quelles données un téléphone Pixel partage avec Google. En premier lieu, ils ont constaté que même lorsque la configuration est minimale et que le téléphone est inactif, iOS et Android partagent des données avec Apple et Google en moyenne toutes les 4,5 minutes. « La collecte "essentielle" de données est vaste et probablement en contradiction avec les attentes raisonnables des utilisateurs », ont écrit les chercheurs dans le rapport.
Le rapport a révélé que l'IMEI du téléphone, le numéro de série du matériel, le numéro de série et l'IMSI de la carte SIM, le numéro de téléphone du combiné, etc. sont partagés avec Apple et Google. Une grande partie de cette collecte de données aurait lieu après la première mise en marche du téléphone, avant que l'utilisateur ne se connecte à un compte Apple ou Google, et même lorsque tous les paramètres optionnels de partage de données sont désactivés. En effet, lorsqu'une carte SIM est insérée, iOS et Android envoient tous deux des données télémétriques à Apple/Google, même si l'utilisateur s'y oppose explicitement.
Un téléphone iOS envoie à Apple les adresses MAC des appareils à proximité, par exemple d'autres combinés et la passerelle domestique, ainsi que leur position GPS. Selon les chercheurs, les utilisateurs n'ont pas la possibilité de se soustraire à cette pratique et très peu d'options pourraient permettre actuellement d'empêcher ce partage de données. En outre, l'étude, dirigée par Douglas J. Leith de la "School of Computer Science & Statistics" du Trinity College de Dublin, a également révélé que les téléphones Android envoient environ 20 fois plus de données aux serveurs de Google que les iPhone aux serveurs d'Apple.
« Au cours des 10 premières minutes de démarrage, le Pixel [de Google] envoie environ 1 Mo de données à Google, alors que l'iPhone envoie environ 42 Ko de données à Apple. Lorsque les combinés sont inactifs, le Pixel envoie environ 1 Mo de données à Google toutes les 12 heures, contre 52 Ko à Apple pour l'iPhone », indique le document. Cependant, l'iPhone des chercheurs a transmis plus de types de données, notamment la localisation de l'appareil, l'adresse IP (Internet Protocol) locale de l'appareil et les identifiants de réseau Wi-Fi, les adresses MAC des appareils à proximité, y compris les routeurs Wi-Fi domestiques.
Le téléphone Android n'a pas renvoyé tous ces types de données. L'implication est qu'Apple pourrait collecter plus de données sur les appareils à proximité que ne le fait Google. « Il suffit d'un seul appareil pour marquer l'adresse MAC de la passerelle domestique [routeur Wi-Fi] avec sa position GPS et, par la suite, l'emplacement de tous les autres appareils signalant cette adresse MAC à Apple est révélé », indique l'étude. Selon le document, le partage de ces adresses MAC permet à Apple de construire un "graphe social" ou une carte des relations de tous les appareils Apple sur un réseau local.
La collecte des données semble se faire suivant un cycle
Selon le rapport, les téléphones étaient incapables de rester inactifs, même quand ils ne sont pas utilisés. L'iPhone et le téléphone Android auraient appelé les serveurs d'Apple et de Google toutes les 4 ou 5 minutes alors que les téléphones sont restés inactifs et inutilisés pendant plusieurs jours. Ils étaient allumés et mis sous secteur, mais les utilisateurs ne s'étaient pas encore connectés aux comptes Apple ou Google. Même lorsque l'utilisateur de l'iPhone restait déconnecté de son compte Apple, l'iPhone envoyait toujours des cookies d'identification à iCloud, Siri, l'iTunes Store et les serveurs d'analyse d'Apple lorsque l'iPhone était inactif.
Il envoyait également des informations sur les appareils proches partageant le même réseau Wi-Fi. Lorsque les services de localisation étaient activés sur l'iPhone, sa latitude et sa longitude étaient transmises aux serveurs d'Apple. Sur le téléphone Android, les données sont envoyées aux serveurs de Google Play toutes les 10 à 20 minutes, même lorsque l'utilisateur n'est pas connecté. L'étude a également découvert que certaines applications partagent des données avec Google, notamment Chrome, Docs, Messaging, Search et YouTube, bien que seul YouTube envoie des identifiants d'appareil uniques.
Par ailleurs, les chercheurs ont étudié le trafic réseau des deux types de téléphones au cours de six scénarios : lors du démarrage initial après une réinitialisation d'usine ; lors de l'ajout ou du retrait d'une carte SIM ; lors d'un état d'inactivité prolongé ; lors de l'affichage de l'écran des paramètres ; lors de l'activation ou de la désactivation des services de localisation ; et lors de la connexion à l'App Store ou au Google Play store. Ils ont mis en scène une attaque de type "man-in-the-middle" (l'homme du milieu) sur les téléphones, en configurant un ordinateur portable pour qu'il serve de point d'accès Wi-Fi tout en désactivant les connexions cellulaires des téléphones.
Le trafic des téléphones passait par l'ordinateur portable, qui déchiffrait les données enregistrées et analysées, puis les chiffrait à nouveau avant de les envoyer aux serveurs de destination. Les téléphones utilisés pour les tests étaient un iPhone 8 fonctionnant sous iOS 13.6.1 et un Google Pixel 2 fonctionnant sous Android 10. Tous deux ont été débridés (jailbreakés) afin que les chercheurs puissent ajouter de nouveaux certificats de serveur HTTPS correspondant à ceux de l'ordinateur portable "man-in-the-middle", permettant ainsi le déchiffrement du trafic.
Les chercheurs ont déclaré qu'ils avaient été motivés pour mener cette étude en raison des applications de recherche de contacts Covid-19 qui avaient fait l'objet d'une grande publicité en Europe, notamment au Royaume-Uni et en Irlande, en 2020. Ils ont constaté qu'à long terme, il n'y avait pas beaucoup de différence entre Android et iOS en matière de collecte de données sur les utilisateurs. « Sur un iPhone exécutant une application de recherche de contacts Covid, la collecte de données par iOS est remarquablement similaire à celle effectuée par Google Play Services sur les téléphones Android », indique le document.
Google estime que cette collecte de données est nécessaire
Les chercheurs ont contacté Apple et Google pour les informer de leurs découvertes et leur demander des commentaires. « À ce jour, Apple n'a répondu que par le silence. Nous avons envoyé trois courriels au directeur de la confidentialité des utilisateurs d'Apple, qui a même refusé d'accuser réception d'un courriel, et nous avons également publié une demande d'information sur la page de contact des enquêtes sur la confidentialité d'Apple, mais nous n'avons reçu aucune réponse », indique le document. Les deux entreprises ont tout de même fait quelques déclarations à certains médias.
« Cette recherche décrit le fonctionnement des smartphones. Les voitures modernes envoient régulièrement des données de base sur les composants du véhicule, leur état de sécurité et les calendriers d'entretien aux constructeurs automobiles, et les téléphones portables fonctionnent de manière très similaire. Ce rapport détaille ces communications, qui permettent de s'assurer que le logiciel iOS ou Android est à jour, que les services fonctionnent comme prévu, et que le téléphone est sécurisé et fonctionne efficacement », a déclaré un porte-parole de Google au site Tom's Guide.
Selon les explications de Google, les estimations des chercheurs concernant le volume de données envoyées par les appareils iOS aux serveurs d'Apple ne tiennent pas compte des données envoyées par les serveurs d'Apple en retour vers les appareils iOS. Autrement, les données envoyées par l'iPhone aux serveurs d'Apple seraient plus volumineuses. Un porte-parole d'Apple a déclaré à Tom's Guide que l'étude posait également problème, car les chercheurs semblent avoir confondu plusieurs sources de données. Le porte-parole a ajouté que les données personnelles des utilisateurs étaient néanmoins protégées et qu'il était impossible de remonter jusqu'à des personnes précises.
Enfin, Leith a déclaré qu'actuellement, il n’existe que peu d'options réalistes, voire aucune, pour empêcher ce partage de données, en particulier sur les iPhone. Les téléphones Android - ou du moins le Pixel avec lequel les chercheurs ont travaillé - peuvent être démarrés avec des connexions réseau désactivées. Ensuite, si l'utilisateur désactive Google Play Services et les applications Google Play et YouTube avant de se connecter au réseau, cela empêche la grande majorité du partage de données avec Google.
« Les utilisateurs de téléphones Android non Google devraient alors utiliser d'autres magasins d'applications, comme le font les tablettes Amazon Fire ou les téléphones Huawei. (La connexion à Amazon ou Huawei soulève d'autres problèmes de confidentialité.) Mais les utilisateurs d'iPhone sont coincés, car leurs appareils ont besoin d'une connexion réseau pour être activés », conclut le rapport.
Source : rapport de l'étude (PDF)
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi
Apple invite les chercheurs à vérifier ses fonctionnalités de sécurité pour les enfants, mais poursuit en justice une startup qui fait exactement cela Vie privée : « ce qui se passe dans votre iPhone reste dans votre iPhone », selon Apple qui fustige ses concurrents Google soutient un projet Linux visant à rendre Android et Chrome OS plus difficiles à pirater, tout en militant pour l'utilisation de Rust dans le code du noyau 
Envoyé par phil995511
