Une nouvelle étude révèle que les iPhone ne sont pas aussi privés que vous le pensez
Les iPhone collecteraient plus de types de données que les téléphones Android
Le 2021-10-04 22:53:32, par Bill Fassinou, Chroniqueur Actualités
Des chercheurs en cybersécurité du Trinity College de Dublin, en Irlande, ont partagé un rapport dans lequel ils affirment que les téléphones Android et iOS sont très peu sécurisés, mais constituent également un cauchemar en matière de protection de la vie privée. Le rapport va plus loin en affirmant que bien les iPhone donnent l'impression d'être plus respectueux de la vie privée, ils collectent plus de types de données privées que les téléphones Android. Un autre point important, l'iPhone et le téléphone Android utilisés pour les tests partagent tous deux des données avec Apple et Google toutes les 4,5 minutes.
Google et Apple collectent une grande quantité de données
Le rapport en question a été partagé par des scientifiques du Trinity College de Dublin en mars dernier. Dans le cadre de leur étude, ils ont examiné quelles données un iPhone partage avec Apple et quelles données un téléphone Pixel partage avec Google. En premier lieu, ils ont constaté que même lorsque la configuration est minimale et que le téléphone est inactif, iOS et Android partagent des données avec Apple et Google en moyenne toutes les 4,5 minutes. « La collecte "essentielle" de données est vaste et probablement en contradiction avec les attentes raisonnables des utilisateurs », ont écrit les chercheurs dans le rapport.
Le rapport a révélé que l'IMEI du téléphone, le numéro de série du matériel, le numéro de série et l'IMSI de la carte SIM, le numéro de téléphone du combiné, etc. sont partagés avec Apple et Google. Une grande partie de cette collecte de données aurait lieu après la première mise en marche du téléphone, avant que l'utilisateur ne se connecte à un compte Apple ou Google, et même lorsque tous les paramètres optionnels de partage de données sont désactivés. En effet, lorsqu'une carte SIM est insérée, iOS et Android envoient tous deux des données télémétriques à Apple/Google, même si l'utilisateur s'y oppose explicitement.
Un téléphone iOS envoie à Apple les adresses MAC des appareils à proximité, par exemple d'autres combinés et la passerelle domestique, ainsi que leur position GPS. Selon les chercheurs, les utilisateurs n'ont pas la possibilité de se soustraire à cette pratique et très peu d'options pourraient permettre actuellement d'empêcher ce partage de données. En outre, l'étude, dirigée par Douglas J. Leith de la "School of Computer Science & Statistics" du Trinity College de Dublin, a également révélé que les téléphones Android envoient environ 20 fois plus de données aux serveurs de Google que les iPhone aux serveurs d'Apple.
« Au cours des 10 premières minutes de démarrage, le Pixel [de Google] envoie environ 1 Mo de données à Google, alors que l'iPhone envoie environ 42 Ko de données à Apple. Lorsque les combinés sont inactifs, le Pixel envoie environ 1 Mo de données à Google toutes les 12 heures, contre 52 Ko à Apple pour l'iPhone », indique le document. Cependant, l'iPhone des chercheurs a transmis plus de types de données, notamment la localisation de l'appareil, l'adresse IP (Internet Protocol) locale de l'appareil et les identifiants de réseau Wi-Fi, les adresses MAC des appareils à proximité, y compris les routeurs Wi-Fi domestiques.
Le téléphone Android n'a pas renvoyé tous ces types de données. L'implication est qu'Apple pourrait collecter plus de données sur les appareils à proximité que ne le fait Google. « Il suffit d'un seul appareil pour marquer l'adresse MAC de la passerelle domestique [routeur Wi-Fi] avec sa position GPS et, par la suite, l'emplacement de tous les autres appareils signalant cette adresse MAC à Apple est révélé », indique l'étude. Selon le document, le partage de ces adresses MAC permet à Apple de construire un "graphe social" ou une carte des relations de tous les appareils Apple sur un réseau local.
La collecte des données semble se faire suivant un cycle
Selon le rapport, les téléphones étaient incapables de rester inactifs, même quand ils ne sont pas utilisés. L'iPhone et le téléphone Android auraient appelé les serveurs d'Apple et de Google toutes les 4 ou 5 minutes alors que les téléphones sont restés inactifs et inutilisés pendant plusieurs jours. Ils étaient allumés et mis sous secteur, mais les utilisateurs ne s'étaient pas encore connectés aux comptes Apple ou Google. Même lorsque l'utilisateur de l'iPhone restait déconnecté de son compte Apple, l'iPhone envoyait toujours des cookies d'identification à iCloud, Siri, l'iTunes Store et les serveurs d'analyse d'Apple lorsque l'iPhone était inactif.
Il envoyait également des informations sur les appareils proches partageant le même réseau Wi-Fi. Lorsque les services de localisation étaient activés sur l'iPhone, sa latitude et sa longitude étaient transmises aux serveurs d'Apple. Sur le téléphone Android, les données sont envoyées aux serveurs de Google Play toutes les 10 à 20 minutes, même lorsque l'utilisateur n'est pas connecté. L'étude a également découvert que certaines applications partagent des données avec Google, notamment Chrome, Docs, Messaging, Search et YouTube, bien que seul YouTube envoie des identifiants d'appareil uniques.
Par ailleurs, les chercheurs ont étudié le trafic réseau des deux types de téléphones au cours de six scénarios : lors du démarrage initial après une réinitialisation d'usine ; lors de l'ajout ou du retrait d'une carte SIM ; lors d'un état d'inactivité prolongé ; lors de l'affichage de l'écran des paramètres ; lors de l'activation ou de la désactivation des services de localisation ; et lors de la connexion à l'App Store ou au Google Play store. Ils ont mis en scène une attaque de type "man-in-the-middle" (l'homme du milieu) sur les téléphones, en configurant un ordinateur portable pour qu'il serve de point d'accès Wi-Fi tout en désactivant les connexions cellulaires des téléphones.
Le trafic des téléphones passait par l'ordinateur portable, qui déchiffrait les données enregistrées et analysées, puis les chiffrait à nouveau avant de les envoyer aux serveurs de destination. Les téléphones utilisés pour les tests étaient un iPhone 8 fonctionnant sous iOS 13.6.1 et un Google Pixel 2 fonctionnant sous Android 10. Tous deux ont été débridés (jailbreakés) afin que les chercheurs puissent ajouter de nouveaux certificats de serveur HTTPS correspondant à ceux de l'ordinateur portable "man-in-the-middle", permettant ainsi le déchiffrement du trafic.
Les chercheurs ont déclaré qu'ils avaient été motivés pour mener cette étude en raison des applications de recherche de contacts Covid-19 qui avaient fait l'objet d'une grande publicité en Europe, notamment au Royaume-Uni et en Irlande, en 2020. Ils ont constaté qu'à long terme, il n'y avait pas beaucoup de différence entre Android et iOS en matière de collecte de données sur les utilisateurs. « Sur un iPhone exécutant une application de recherche de contacts Covid, la collecte de données par iOS est remarquablement similaire à celle effectuée par Google Play Services sur les téléphones Android », indique le document.
Google estime que cette collecte de données est nécessaire
Les chercheurs ont contacté Apple et Google pour les informer de leurs découvertes et leur demander des commentaires. « À ce jour, Apple n'a répondu que par le silence. Nous avons envoyé trois courriels au directeur de la confidentialité des utilisateurs d'Apple, qui a même refusé d'accuser réception d'un courriel, et nous avons également publié une demande d'information sur la page de contact des enquêtes sur la confidentialité d'Apple, mais nous n'avons reçu aucune réponse », indique le document. Les deux entreprises ont tout de même fait quelques déclarations à certains médias.
« Cette recherche décrit le fonctionnement des smartphones. Les voitures modernes envoient régulièrement des données de base sur les composants du véhicule, leur état de sécurité et les calendriers d'entretien aux constructeurs automobiles, et les téléphones portables fonctionnent de manière très similaire. Ce rapport détaille ces communications, qui permettent de s'assurer que le logiciel iOS ou Android est à jour, que les services fonctionnent comme prévu, et que le téléphone est sécurisé et fonctionne efficacement », a déclaré un porte-parole de Google au site Tom's Guide.
Selon les explications de Google, les estimations des chercheurs concernant le volume de données envoyées par les appareils iOS aux serveurs d'Apple ne tiennent pas compte des données envoyées par les serveurs d'Apple en retour vers les appareils iOS. Autrement, les données envoyées par l'iPhone aux serveurs d'Apple seraient plus volumineuses. Un porte-parole d'Apple a déclaré à Tom's Guide que l'étude posait également problème, car les chercheurs semblent avoir confondu plusieurs sources de données. Le porte-parole a ajouté que les données personnelles des utilisateurs étaient néanmoins protégées et qu'il était impossible de remonter jusqu'à des personnes précises.
Enfin, Leith a déclaré qu'actuellement, il n’existe que peu d'options réalistes, voire aucune, pour empêcher ce partage de données, en particulier sur les iPhone. Les téléphones Android - ou du moins le Pixel avec lequel les chercheurs ont travaillé - peuvent être démarrés avec des connexions réseau désactivées. Ensuite, si l'utilisateur désactive Google Play Services et les applications Google Play et YouTube avant de se connecter au réseau, cela empêche la grande majorité du partage de données avec Google.
« Les utilisateurs de téléphones Android non Google devraient alors utiliser d'autres magasins d'applications, comme le font les tablettes Amazon Fire ou les téléphones Huawei. (La connexion à Amazon ou Huawei soulève d'autres problèmes de confidentialité.) Mais les utilisateurs d'iPhone sont coincés, car leurs appareils ont besoin d'une connexion réseau pour être activés », conclut le rapport.
Source : rapport de l'étude (PDF)
Et vous ?
Voir aussi
Google et Apple collectent une grande quantité de données
Le rapport en question a été partagé par des scientifiques du Trinity College de Dublin en mars dernier. Dans le cadre de leur étude, ils ont examiné quelles données un iPhone partage avec Apple et quelles données un téléphone Pixel partage avec Google. En premier lieu, ils ont constaté que même lorsque la configuration est minimale et que le téléphone est inactif, iOS et Android partagent des données avec Apple et Google en moyenne toutes les 4,5 minutes. « La collecte "essentielle" de données est vaste et probablement en contradiction avec les attentes raisonnables des utilisateurs », ont écrit les chercheurs dans le rapport.
Le rapport a révélé que l'IMEI du téléphone, le numéro de série du matériel, le numéro de série et l'IMSI de la carte SIM, le numéro de téléphone du combiné, etc. sont partagés avec Apple et Google. Une grande partie de cette collecte de données aurait lieu après la première mise en marche du téléphone, avant que l'utilisateur ne se connecte à un compte Apple ou Google, et même lorsque tous les paramètres optionnels de partage de données sont désactivés. En effet, lorsqu'une carte SIM est insérée, iOS et Android envoient tous deux des données télémétriques à Apple/Google, même si l'utilisateur s'y oppose explicitement.
Un téléphone iOS envoie à Apple les adresses MAC des appareils à proximité, par exemple d'autres combinés et la passerelle domestique, ainsi que leur position GPS. Selon les chercheurs, les utilisateurs n'ont pas la possibilité de se soustraire à cette pratique et très peu d'options pourraient permettre actuellement d'empêcher ce partage de données. En outre, l'étude, dirigée par Douglas J. Leith de la "School of Computer Science & Statistics" du Trinity College de Dublin, a également révélé que les téléphones Android envoient environ 20 fois plus de données aux serveurs de Google que les iPhone aux serveurs d'Apple.
« Au cours des 10 premières minutes de démarrage, le Pixel [de Google] envoie environ 1 Mo de données à Google, alors que l'iPhone envoie environ 42 Ko de données à Apple. Lorsque les combinés sont inactifs, le Pixel envoie environ 1 Mo de données à Google toutes les 12 heures, contre 52 Ko à Apple pour l'iPhone », indique le document. Cependant, l'iPhone des chercheurs a transmis plus de types de données, notamment la localisation de l'appareil, l'adresse IP (Internet Protocol) locale de l'appareil et les identifiants de réseau Wi-Fi, les adresses MAC des appareils à proximité, y compris les routeurs Wi-Fi domestiques.
Le téléphone Android n'a pas renvoyé tous ces types de données. L'implication est qu'Apple pourrait collecter plus de données sur les appareils à proximité que ne le fait Google. « Il suffit d'un seul appareil pour marquer l'adresse MAC de la passerelle domestique [routeur Wi-Fi] avec sa position GPS et, par la suite, l'emplacement de tous les autres appareils signalant cette adresse MAC à Apple est révélé », indique l'étude. Selon le document, le partage de ces adresses MAC permet à Apple de construire un "graphe social" ou une carte des relations de tous les appareils Apple sur un réseau local.
La collecte des données semble se faire suivant un cycle
Selon le rapport, les téléphones étaient incapables de rester inactifs, même quand ils ne sont pas utilisés. L'iPhone et le téléphone Android auraient appelé les serveurs d'Apple et de Google toutes les 4 ou 5 minutes alors que les téléphones sont restés inactifs et inutilisés pendant plusieurs jours. Ils étaient allumés et mis sous secteur, mais les utilisateurs ne s'étaient pas encore connectés aux comptes Apple ou Google. Même lorsque l'utilisateur de l'iPhone restait déconnecté de son compte Apple, l'iPhone envoyait toujours des cookies d'identification à iCloud, Siri, l'iTunes Store et les serveurs d'analyse d'Apple lorsque l'iPhone était inactif.
Il envoyait également des informations sur les appareils proches partageant le même réseau Wi-Fi. Lorsque les services de localisation étaient activés sur l'iPhone, sa latitude et sa longitude étaient transmises aux serveurs d'Apple. Sur le téléphone Android, les données sont envoyées aux serveurs de Google Play toutes les 10 à 20 minutes, même lorsque l'utilisateur n'est pas connecté. L'étude a également découvert que certaines applications partagent des données avec Google, notamment Chrome, Docs, Messaging, Search et YouTube, bien que seul YouTube envoie des identifiants d'appareil uniques.
Par ailleurs, les chercheurs ont étudié le trafic réseau des deux types de téléphones au cours de six scénarios : lors du démarrage initial après une réinitialisation d'usine ; lors de l'ajout ou du retrait d'une carte SIM ; lors d'un état d'inactivité prolongé ; lors de l'affichage de l'écran des paramètres ; lors de l'activation ou de la désactivation des services de localisation ; et lors de la connexion à l'App Store ou au Google Play store. Ils ont mis en scène une attaque de type "man-in-the-middle" (l'homme du milieu) sur les téléphones, en configurant un ordinateur portable pour qu'il serve de point d'accès Wi-Fi tout en désactivant les connexions cellulaires des téléphones.
Le trafic des téléphones passait par l'ordinateur portable, qui déchiffrait les données enregistrées et analysées, puis les chiffrait à nouveau avant de les envoyer aux serveurs de destination. Les téléphones utilisés pour les tests étaient un iPhone 8 fonctionnant sous iOS 13.6.1 et un Google Pixel 2 fonctionnant sous Android 10. Tous deux ont été débridés (jailbreakés) afin que les chercheurs puissent ajouter de nouveaux certificats de serveur HTTPS correspondant à ceux de l'ordinateur portable "man-in-the-middle", permettant ainsi le déchiffrement du trafic.
Les chercheurs ont déclaré qu'ils avaient été motivés pour mener cette étude en raison des applications de recherche de contacts Covid-19 qui avaient fait l'objet d'une grande publicité en Europe, notamment au Royaume-Uni et en Irlande, en 2020. Ils ont constaté qu'à long terme, il n'y avait pas beaucoup de différence entre Android et iOS en matière de collecte de données sur les utilisateurs. « Sur un iPhone exécutant une application de recherche de contacts Covid, la collecte de données par iOS est remarquablement similaire à celle effectuée par Google Play Services sur les téléphones Android », indique le document.
Google estime que cette collecte de données est nécessaire
Les chercheurs ont contacté Apple et Google pour les informer de leurs découvertes et leur demander des commentaires. « À ce jour, Apple n'a répondu que par le silence. Nous avons envoyé trois courriels au directeur de la confidentialité des utilisateurs d'Apple, qui a même refusé d'accuser réception d'un courriel, et nous avons également publié une demande d'information sur la page de contact des enquêtes sur la confidentialité d'Apple, mais nous n'avons reçu aucune réponse », indique le document. Les deux entreprises ont tout de même fait quelques déclarations à certains médias.
« Cette recherche décrit le fonctionnement des smartphones. Les voitures modernes envoient régulièrement des données de base sur les composants du véhicule, leur état de sécurité et les calendriers d'entretien aux constructeurs automobiles, et les téléphones portables fonctionnent de manière très similaire. Ce rapport détaille ces communications, qui permettent de s'assurer que le logiciel iOS ou Android est à jour, que les services fonctionnent comme prévu, et que le téléphone est sécurisé et fonctionne efficacement », a déclaré un porte-parole de Google au site Tom's Guide.
Selon les explications de Google, les estimations des chercheurs concernant le volume de données envoyées par les appareils iOS aux serveurs d'Apple ne tiennent pas compte des données envoyées par les serveurs d'Apple en retour vers les appareils iOS. Autrement, les données envoyées par l'iPhone aux serveurs d'Apple seraient plus volumineuses. Un porte-parole d'Apple a déclaré à Tom's Guide que l'étude posait également problème, car les chercheurs semblent avoir confondu plusieurs sources de données. Le porte-parole a ajouté que les données personnelles des utilisateurs étaient néanmoins protégées et qu'il était impossible de remonter jusqu'à des personnes précises.
Enfin, Leith a déclaré qu'actuellement, il n’existe que peu d'options réalistes, voire aucune, pour empêcher ce partage de données, en particulier sur les iPhone. Les téléphones Android - ou du moins le Pixel avec lequel les chercheurs ont travaillé - peuvent être démarrés avec des connexions réseau désactivées. Ensuite, si l'utilisateur désactive Google Play Services et les applications Google Play et YouTube avant de se connecter au réseau, cela empêche la grande majorité du partage de données avec Google.
« Les utilisateurs de téléphones Android non Google devraient alors utiliser d'autres magasins d'applications, comme le font les tablettes Amazon Fire ou les téléphones Huawei. (La connexion à Amazon ou Huawei soulève d'autres problèmes de confidentialité.) Mais les utilisateurs d'iPhone sont coincés, car leurs appareils ont besoin d'une connexion réseau pour être activés », conclut le rapport.
Source : rapport de l'étude (PDF)
Et vous ?
Voir aussi
-
phil995511Membre éprouvéQu'attendent nos gouvernements pour faire cesser cela et faire respecter les lois sur la protection des données personnelles ??le 05/10/2021 à 16:57
-
TotoParisMembre expérimentéOn retrouve toutes les informations techniques qui sont l'ADN même d'un smartphone.
C'est de l'espionnage en bonne et due forme.
Que l'opérateur de téléphonie en ait besoin, c'est normal pour établir les "tickets" de communication, et la facturation qui en découle.
Mais Apple et Google...
Tiens je vais remettre à zéro mon compteur de données cellulaires, et voir ce qui se passe même sans rien faire...
Du coup, les données envoyées à longueur d'année pompent sur le forfait DATA ?le 05/10/2021 à 21:38 -
Hélas, les lois Outre-atlantiques ne sont pas identiques en matière de vie privée. Oui, l'Europe devrait agir (Elle l'a peut-être fait).
Quoi qu'il en soit, Android ou IOs et JetefourejusqualOS, la vie privée est totalement illusoire sur le Web. Il faut s'en faire une idée.le 06/10/2021 à 13:12 -
kain_tnExpert éminentPas certain que tu puisses voir quelque chose. Il y a quelques temps sur developpez (2020?), quelqu'un avait parlé d'une modification de Apple sur BigSur et Catalina pour whitelister les processus internes et leur permettre de traverser le firewall du système quoi qu'il arrive.
Je ne retrouve pas l'article mais j'ai trouvé cette source. Ce serait intéressant de savoir si c'est la même chose pour iOS.
Je crois que sur Developpez, ça provenait du blog d'un gars ou d'une société qui faisait un produit qui permettait facilement de contrôler la consommation en data, et qu'ils râlaient parce qu'ils ne pouvaient plus garantir le zéro data. Est-ce que quelqu'un se souvient de cet article?le 06/10/2021 à 8:59 -
marsupialExpert éminentJe n'ai plus le lien mais Android a fait de gros progrès en terme de sécurité et il est plus sécurisé qu'iOS dorénavant. La source vient d'une entreprise de bug bounty dont j'ai oublié le nom.le 08/10/2021 à 8:44
-
GuranMembre à l'essaiBien essayé... mais je resterai chez Apple ( il y a bien moins de failles que sur Android )le 06/10/2021 à 11:20