Une fois n’est pas coutume,
le chercheur en cybersécurité de Mysk a identifié une nouvelle faille
clé dans le code d’iOS. Détaillé sur le réseau social Twitter, le
problème concerne l’activation des VPN. Autrement dit, des solutions qui
sont censées rendre plus difficile le suivi d’un internaute par son adresse IP en la déroutant via de multiples points d’accès.
L’analyste a ainsi pu repérer que si le masquage a bel et bien lieu
dans certains cas, ce n’est pas toujours le cas. Notamment lorsque
l’utilisateur fait appel à des services d’Apple parmi les plus
populaires comme Santé, Plans ou Cartes. De quoi inquiéter sérieusement ceux qui y stockent des données personnelles parfois particulièrement sensibles…
Les risques
En
théorie, cette brèche expose donc des informations cruciales comme le
poids, les statistiques d’activité physique, les heures de sommeil, la
géolocalisation voire même les coordonnées bancaires. Aucun siphonnage
d’envergure n’est à déplorer depuis que Mysk a révélé le pot aux roses,
mais Apple ne semble pas avoir pris les mesures nécessaires pour lutter contre cet incident pour le moment…
Avec ceci, ce sont aussi les apps Apple Store, Localiser, Réglages ou encore Fichiers
qui sont touchées. Cupertino pourrait facilement réagir selon la
source, mais ce n’est pas le cas. Il se pourrait même, d’après celle-ci,
que la firme à la pomme en profite et que ce code soit intentionnel
afin de tracer les cibles. Gageons qu’une réponse rapide de la part des
techniciens de Tim Cook ne saurait tarder, histoire de rassurer les plus
sceptiques voire de publier un correctif en bonne et due forme.
Impossible de se protéger ?
Mais alors, comment éviter de
voir ses données fuiter de la sorte ? La question se pose, d’ailleurs un
internaute l’a évoquée directement auprès de Mysk. Sa réponse est
froide : il n’existe pas de solution actuellement. Pire : au-delà des
maillages natifs comme ceux d’iCloud+,
le souci concerne aussi tous les VPN tiers. La promesse de
confidentialité des plateformes payantes n’est donc pas respectée, ce
qui pourrait donner du grain à moudre aux autorités de la concurrence
épinglant régulièrement les géants de la tech.
Et vous, utilisez-vous un VPN sur mobile ? Ou avez-vous mis en place une alternative plus fiable ?
Mieux : selon l’analyste, le moyen qu’il a pu trouver pour lire les
coordonnées des abonnés à ce service payant est en réalité différent de
celui mis au jour en août. Le système d’exploitation propriétaire macOS
Big Sur ne semble toutefois pas concerné, avec une vulnérabilité qui ne
toucherait que les mobiles tels que les iPhone 13.
Quel danger pour les victimes éventuelles ?
Si
votre adresse IP venait effectivement à fuiter de cette manière, un
hacker pourrait alors en profiter pour vous géolocaliser avec une
certaine précision. Qui plus est, il lui serait possible d’identifier
votre fournisseur d’accès à internet (comme Bouygues Télécom ou Orange).
Votre nom, vos fichiers ou encore vos identifiants, en revanche, ne
devraient pas être exposés.
Le Relais privé iCloud est une
fonctionnalité payante qui n’est accessible qu’en souscrivant à un
forfait iCloud+. Cet abonnement est disponible avec trois capacités de
stockage au choix :
50 Go
200 Go
2 To
En plus du
Relais privé iCloud, l’offre donne accès à un nom de domaine
personnalisé pour son adresse e-mail et la prise en charge de vidéo
sécurisée HomeKit pour cinq caméras. Il est aussi possible de partager
le service avec plusieurs membres de sa famille, comme pour Apple Music.
Alternative
Dans
un récent billet de blog, Mostsevenko explique comment se prémunir de
cette faille du Réseau privé iCloud. La première solution consiste, tout
logiquement, à passer par un autre VPN (notre comparatif).
Ceci déviera votre adresse IP vers d’autres serveurs, rendant son
identification plus difficile et bien moins accessible au premier venu.
Désactiver
JavaScript (JS) depuis les paramètres de Safari permettra aussi de
bloquer l’interface WebRTC incriminée dans cette brèche, mais ceci
risque de rendre la navigation plus compliquée tant les sites web en JS
sont nombreux.
Il n’y a donc plus qu’à attendre un correctif de la part d’Apple, prévenue du problème.
Relais privé : Apple ne vous aidera pas à contourner les géoblocages
Apple
donne quelques détails sur le fonctionnement de Private Relay, son
concurrent des VPN. Il indique également que cette fonctionnalité ne
pourra pas être utilisée pour contourner les restrictions géographiques
sur certains services en ligne.
Chaque année, Apple présente de nouvelles fonctionnalités pour aider
ses utilisateurs à protéger leurs vies privées. Par exemple, lors de la
WWDC 2020, la firme a annoncé l’ATT,
la fonctionnalité d’iOS qui peut empêcher les développeurs
d’applications de vous pister. Et lors de sa conférence de 2021, la
firme a annoncé iCloud+.
iCloud+ est une nouvelle offre pour les clients du stockage payant
d’iCloud qui inclut une série de fonctionnalités de protection de la vie
privée. Et parmi ces fonctionnalités, il y a Private Relay ou relais
privé.
Cette fonctionnalité, qui est toujours en beta, fonctionne plus ou moins comme un VPN
(mais n’en est pas un), puisqu’elle vous permettra de sécuriser vos
connexions et de cacher votre adresse IP. Pour le moment, on ne sait pas
quand cette nouveauté sera disponible sur iOS 15. Mais en attendant,
Apple publie un document qui nous donne quelques détails sur le
fonctionnement de Private Relay.
Dans ce document, la firme réexplique l’utilité de cette protection. « Normalement,
lorsqu’un utilisateur navigue sur le Web, les informations de base
relatives à son trafic Web, telles que son adresse IP et ses
enregistrements DNS, peuvent être consultées par les fournisseurs de
réseau et les sites Web qu’ils visitent », lit-on. « Ces
informations peuvent être utilisées pour déterminer l’identité de
l’utilisateur et créer un profil de son emplacement et de son historique
de navigation au fil du temps. Un utilisateur peut alors être ciblé par
des publicités et des campagnes marketing indésirables, ou voir ses
données combinées avec des données supplémentaires et vendues à d’autres
sociétés. »
Et c’est contre cette collecte de données que les utilisateurs d’iCloud+ seront protégés. Private Relay
chiffre les connexions qui ne sont pas encore chiffrées, et fait passer
le trafic par deux relais. L’objectif est qu’aucune entité ne puisse
combiner des données sur l’utilisateur lorsque celui-ci se connecte à
internet.
Une protection, avec quelques limites par rapport aux VPN
Dans
son document, Apple évoque aussi les limitations de son relais privé.
La firme précise que la fonctionnalité protège l’identité des
utilisateurs, tout en maintenant des informations de géolocalisation
suffisamment précises pour prendre en charge les expériences
personnalisées sur le web. Et par ailleurs, contrairement à certains
VPN, cette fonctionnalité ne vous permettra pas de contourner les
restrictions géographiques sur certains services.
Autre
limitation : la protection de Private Relay ne s’applique pas aux
services cellulaires le service de messagerie multimédia (MMS), les
services de téléphonie (XCAP), etc.
De plus, Apple ne veut pas interférer avec les réseaux d’entreprises. « La
plupart des paramètres réseau gérés utilisés par les entreprises ont
priorité sur Private Relay. Si un appareil est équipé d’un VPN, que ce
soit pour des raisons professionnelles ou personnelles, le trafic qui
passe par le VPN n’utilisera pas Private Relay. De même, une
configuration de proxy, telle qu’un proxy global, sera utilisée à la
place de Private Relay », indique la firme de Cupertino.
Après l'App Transparency Act, l'iCloud Private Relay pourrait tuer les derniers espoirs de traçage des publicitaires:
Les publicitaires craignent l’arrivée de l’iCloud Private Relay
L’iCloud
Private Relay est un nouveau service d’Apple qui devrait être
disponible à la rentrée, pour toujours plus de confidentialité sur
internet.
Publié le
Par Tristan Carballeda
Elle était presque passée inaperçue dans le flot des annonces qui a
rythmé la conférence de la WWDC cette année, et pourtant Apple a bien
lancé un nouveau service : iCloud Private Relay. Cette nouvelle
fonctionnalité devrait être disponible à la rentrée en même temps qu’iOS
15 et macOS Monterey. Si l’on en croit les annonces d’Apple fait lors
de la conférence, elle devrait se matérialiser par une couche de
sécurité supplémentaire qui garantit la confidentialité des utilisateurs
lorsqu’ils naviguent sur le Web.
Une pratique, qui est dans la continuité des annonces d’Apple depuis
plusieurs mois, la marque à la pomme faisant de la confidentialité de
ses utilisateurs une de ses priorités. Si la nouvelle annonce de la
firme de Cupertino a donc été plutôt bien reçue par le public, ce n’est
pas le cas des professionnels de la publicité numérique. Les annonceurs
craignent en effet que cette nouvelle couche d’anonymat mette fin pour
de bon aux « empreintes numériques » et au traçage qui est aujourd’hui
leur gagne-pain.
Ce nouveau service, iCloud Private Relay, fera
partie d’iCloud+, le nouveau service d’abonnement payant d’iCloud qui
permet de débloquer plus de stockage, mais donc également d’accéder à
iCloud Private Relay, une solution de remplacement de l’adresse IP qui
est censée complexifier encore plus le travail des publicitaires.
iCloud Private Relay : comment ça marche ?
Le fonctionnement d’iCloud Private Relay est en réalité assez simple. Sans en être un, à proprement parlé, cela se rapproche sur plusieurs points d’un VPN,
un système bien connu par les personnes voulant plus de confidentialité
sur internet. La plus grande nuance est qu’Apple ne permet pas
d’utiliser un serveur dans un pays étranger (ce que fait un VPN), si
vous êtes situé en France vous pourrez changer votre adresse IP afin de
la masquer à des tiers en utilisant une adresse IP factice, mais qui
sera elle aussi en France.
Aujourd’hui la grande majorité des publicités que vous pouvez voir
sur internet sont affichées en fonction des données de navigation de
l’utilisateur, des données auxquels les publicitaires n’auront bientôt
plus accès donc, grâce à ce nouveau service de la Pomme.
Comme l’a souligné un rapport de Digiday, ce nouveau service d’Apple est le petit frère de l’App Tracking Transparency,
une fonctionnalité introduite avec iOS 14.5 qui venait déjà empêcher
les applications de suivre les utilisateurs sans leur consentement
éclairé. Avec iCloud Private Relay, Apple agrandit son champ d’action,
passant des applications mobiles à l’ensemble du web.
