Apple a récemment renforcé ses exigences envers les développeurs d'applications iOS, leur demandant de justifier l'utilisation d'un ensemble spécifique d'API potentiellement liées à la collecte d'empreintes digitales. Cette initiative vise à protéger la vie privée des utilisateurs en restreignant la collecte de données. Cependant, des géants de la technologie tels que Google, Meta et Spotify semblent ne pas respecter ces règles, selon des développeurs. Ils affirment que ces entreprises continuent d'utiliser ces API pour collecter des données, enfreignant ainsi les directives d'Apple. Bien que Google ait affirmé que ses pratiques sont conformes et que les données extraites servent à des fins légitimes, des experts soulignent des lacunes dans l'application de ces règles par Apple, considérant que les déclarations des développeurs ne sont pas vérifiées.Apple, soucieux de la confidentialité de ses utilisateurs, a toujours imposé des normes strictes dans son App Store, telles que des règles sur la collecte des données, des exigences d'étiquetage des applications, des mesures anti-pistage, et l'option « Se connecter avec Apple ». Récemment, la société a annoncé une nouvelle politique visant à prévenir l'abus des API en exigeant des développeurs qu'ils justifient l'accès à certaines données dans certaines circonstances. En 2018, Apple a commencé à lutter contre le fingerprinting sur macOS en limitant l'accès des sites web à certaines données dans son navigateur Safari, puis a étendu cette mesure aux applications en 2023.
Les API, interfaces de programmation d'applications, sont des outils essentiels pour les développeurs, mais certaines peuvent être exploitées pour collecter des données permettant de profiler les utilisateurs, ce qu'Apple interdit même si l'utilisateur a consenti à être suivi. La nouvelle politique, initialement annoncée pour l'automne 2023, exige que les développeurs fournissent une raison justifiant l'utilisation de chaque API dans le manifeste de confidentialité de leur application. Cela concerne également les kits de développement tiers utilisés par les applications. À partir du printemps 2024, les applications sans explication pour l'utilisation des API risquent le rejet.
Apple offre la possibilité aux développeurs de contacter l'entreprise pour obtenir une approbation si leur utilisation des API diffère de celle prévue. Cependant, certains développeurs craignent que des applications puissent être rejetées pour des raisons mineures, comme l'utilisation de l'API UserDefaults pour stocker les préférences de l'utilisateur. Malgré ces préoccupations, d'autres développeurs estiment que cette politique ne vise pas à restreindre les utilisations légitimes des API, mais simplement à exiger une justification claire de leur utilisation.
L'API « Required Reason » d'Apple contrecarre-t-elle la prise d'empreintes digitales des appareils ?
À partir du 1er mai 2024, Apple exige des développeurs qu'ils déclarent les raisons pour lesquelles leurs applications utilisent des API susceptibles d'être utilisées à mauvais escient pour collecter des signaux uniques de l'appareil. Ces signaux uniques permettent aux auteurs d'abus de dériver un identifiant ou une empreinte digitale de l'appareil et de suivre les activités de l'utilisateur dans différentes applications de différents développeurs. Ces API sont appelées « API de raison requise ». Pour éviter toute utilisation abusive de ces API, Apple rejettera les applications qui ne décrivent pas leur utilisation des API dans leur fichier manifeste de confidentialité. Cependant, des applications telles que Google Chrome, Instagram, Spotify et Threads ne respecteraient pas les raisons déclarées.
Lors de la WWDC 2023, Apple a annoncé une nouvelle mesure de confidentialité visant à empêcher l'empreinte digitale des appareils, une pratique interdite par l'accord de licence du programme des développeurs d'Apple. Apple a publié une liste préliminaire d'API susceptibles d'être utilisées à mauvais escient pour collecter des signaux uniques de l'appareil. Avant d'utiliser l'une de ces API, les développeurs doivent déclarer la raison de leur utilisation dans un fichier manifeste de confidentialité.
La liste évoluera au fil du temps, car de nouvelles API seront ajoutées en fonction des besoins. Apple a fourni une liste de raisons approuvées pour chaque API. Les développeurs doivent revoir leur code et choisir la raison approuvée qui décrit le mieux leur utilisation de l'API. En outre, les développeurs sont également responsables des SDK tiers inclus dans leurs applications et, par conséquent, sont tenus de décrire leur utilisation de l'API de raison requise. Apple a également publié une liste de SDK nécessitant un manifeste de confidentialité et une signature.
La mise à jour du manifeste de confidentialité pour le processus d'examen des applications par Apple ajoute une autre tâche aux développeurs. La description de l'utilisation des API vise à prévenir efficacement le fingerprinting. Ce processus sensibilise également les développeurs aux API et explique pourquoi l'accès à celles-ci doit être limité et pourquoi les données récupérées doivent rester sur l'appareil et ne jamais être transmises en dehors de celui-ci.
Une analyse du trafic réseau de plusieurs applications populaires mises à jour après le 1er mai a été réalisée. L'attention s'est concentrée sur l'API qui récupère l'heure de démarrage de l'appareil, ou le temps de fonctionnement du système,...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.