Les données d'analyse de l'iPhone pourraient identifier un utilisateur

Mickaël Bazoge

lundi 21 novembre 2022 à 15:33 • 67

La forteresse érigée par Apple pour protéger la confidentialité des utilisateurs est-elle bâtie sur des fondations en sable ? De nouvelles révélations provoquent en tout cas un certain trouble concernant les pratiques du constructeur. Les chercheurs en sécurité Tommy Mysk et Talal Haj Bakry ont ainsi découvert que les données analytiques envoyées par l'iPhone contiennent un identifiant unique, dsId (pour Directory Services Identifier).

🚨 New Findings:
🧵 1/6
Apple’s analytics data include an ID called “dsId”. We were able to verify that “dsId” is the “Directory Services Identifier”, an ID that uniquely identifies an iCloud account. Meaning, Apple’s analytics can personally identify you 👇 pic.twitter.com/3DSUFwX3nV
— Mysk 🇨🇦🇩🇪 (@mysk_co) November 21, 2022

Ce dsId unique étant attaché à un compte iCloud, Apple aurait donc les moyens de remonter à l'utilisateur individuel et aux informations liées (nom, date de naissance, adresse courriel, données stockées dans iCloud). Dans les mentions légales consacrées à l'analyse de l'appareil et la confidentialité, Apple assure pourtant qu'« aucune des informations collectées ne vous identifie personnellement ». Est-ce seulement vrai ?

Dans les réglages Analyse et améliorations > Analyse et améliorations > Données d'analyse, on peut accéder aux données recueillies par les apps, mais c'est illisible pour le commun des mortels.

Apple précise néanmoins que dans le cas de l'envoi de données depuis plusieurs appareils utilisant le même compte iCloud, le constructeur peut « établir des liens entre certaines données d’utilisation relatives aux apps Apple sur l’ensemble de ces appareils par le biais d’une synchronisation chiffrée de bout en bout ».

Apple ajoute immédiatement que la méthode employée (dsId ?) ne permet pas d'identifier personnellement l'utilisateur, et le chiffrement de bout en bout semble bien protéger l'identité de l'utilisateur. Néanmoins, l'existence même d'un identifiant unique soulève des interrogations.

Les données d'analyse sont utilisées par Apple pour améliorer ses produits et ses services. Il est possible de ne pas partager ces informations avec le constructeur (l'option Partager l'analyse (iPhone + Watch) dans la capture à gauche).

Cette découverte s'ajoute à celle, récente, qui concerne l'App Store. La boutique aussi collecte des informations personnelles d'une manière qui ne semble pas tout à fait correspondre aux discours d'Apple. D'ailleurs, une class action a été intentée sur cette base contre le constructeur.