FaceTime, depuis ses débuts en 2010, fonctionne en P2P (pair à pair en français), c'est-à-dire en effectuant une liaison directe entre deux appareils. Pour effectuer cette liaison, le système d'Apple doit donc forcément connaître l'IP publique des deux, et une fonction apparue avec iOS 15.2 (le Rapport de confidentialité des apps) permet d'afficher l'IP de votre correspondant. Mais est-ce vraiment grave ?
C'est Numerama qui a présenté le problème récemment, après avoir remarqué quelques messages sur X. Sur votre iPhone, si vous allez dans Réglages > Confidentialité et sécurité > Rapport de confidentialité des apps > Activité réseau des apps et enfin FaceTime, vous verrez une liste d'adresses IP. Et dans cette liste, il y a celles de vos correspondants. Avant d'expliquer le problème, il faut préciser un point : le Rapport de confidentialité des apps n'est pas activé par défaut et il n'enregistre évidemment pas les données tant qu'il n'a pas été activé explicitement.
Est-ce un problème ?
Le RGPD considère qu'une adresse IP est une donnée personnelle, mais dans la pratique — surtout sur un smartphone —, c'est une donnée qui a peu d'intérêt pour un malandrin. Si vous êtes connecté à un réseau mobile, l'adresse IP publique est partagée avec de nombreux appareils et la localisation par IP est quelque chose d'imprécis par nature. Nous ne sommes pas dans une série américaine et — dans la majorité des cas —, connaître l'adresse IP ne va pas permettre de déterminer qu'une personne est au troisième étage d'un bâtiment précis. Si vous êtes en Wi-Fi, c'est un peu différent si vous êtes chez vous car une partie des IP sont fixes, mais il n'existe pas de bases de données publiques pour lier une adresse IP à une adresse physique.
Qui plus est, c'est un biais important ici, FaceTime enregistre de nombreuses IP : certaines liées à des services Apple, d'autres au correspondant, etc. Lors de nos essais, nous avons effectué deux appels pour vérifier le fonctionnement et le rapport contient huit adresses IPv4 et une adresse IPv6. Nous avons pu vérifier que l'adresse du correspondant était bien dans la liste car c'est une adresse IP que nous connaissons. Il est certes envisageable d'un point de vue théorique de récupérer l'adresse IP pour cibler précisément une personne, par exemple, mais il existe des méthodes plus simples.
Comment régler le problème ?
Bonjour, nous aimerions vous parler du sponsor du jour... TRUC VPN~. Nous sommes à moitié sérieux : un VPN est une solution efficace dans ce cas de figure et votre correspondant ne verra que l'adresse IP publique du fournisseur du VPN. Si vous préférez ne pas donner votre adresse IP à un fournisseur de VPN qui n'est pas nécessairement fiable, la fonction de Relais privé d'Apple est parfaite pour ce cas de figure, mais elle a le défaut de dépendre d'un abonnement à une offre iCloud payante.
Apple pourrait aussi proposer une solution, déployée par WhatsApp par exemple, qui permet de cacher les adresses IP (Paramètres > Confidentialité > Paramètres avancés > Protéger l'adresse IP lors des appels). Mais cette solution est loin d'être parfaite : elle consiste à passer par les serveurs de Meta pour les appels plutôt que par une liaison P2P. Donc au lieu de fournir votre adresse IP à votre correspondant, elle est fournie aux serveurs de Meta. Apple propose une fonction équivalente, mais le passage par les serveurs d'Apple ne peut pas être forcé manuellement et ne s'active que si la liaison en P2P est impossible.
