Sécurité – Des chercheurs en sécurité informatique ont découvert un fichier non crypté dans iOS 4 contenant des positions géographiques associées à des horaires qui retracent le parcours d’un usager. Effrayant mais cette découverte n’en est pas une…
Tous les iPhone et iPad 3G sous iOS 4 enregistrent régulièrement la position géographique des usagers et stockent les informations dans un fichier caché dans le terminal.
C’est ce qu’ont découvert deux chercheurs en sécurité qui en ont fait part au Guardian. Les données en question contiennent la latitude et la longitude associées à des heures qui sont stockées dans un fichier nommé « consolidated.db ».
Ce dernier n’est pas crypté et il est transféré sur n’importe quel terminal avec lequel l’iPhone ou l’iPad 3G sont synchronisés. Dans certains cas, la base de données peut contenir des milliers d’entrées puisque cette collecte a débuté avec iOS 4 sorti en juin dernier.
Ce n’est pas un scoop
Quiconque peut avoir accès à ce fichier peut donc étudier les déplacements d’une personne en transformant simplement ces positions en points sur une carte, expliquent les deux chercheurs.
Sauf que cette découverte est tout sauf un scoop. En effet, dès l’annonce du lancement de l’iPhone 4, et de l’OS qui l’accompagne, Apple avait clairement annoncé la couleur.
« Pour fournir des services de localisations sur les produits Apple, Apple et nos partenaires et licenciés peuvent collecter, utiliser et partager des données précises de votre localisation, y compris l’emplacement géographique en temps réel de votre ordinateur ou de votre dispositif ». Voici ce qu’on pouvait lire dans sa politique de confidentialité, modifiée en juin 2010.
Clairement, Apple annonçait qu’il allait collecter de nouvelles données sur les utilisateurs de ses produits, notamment celles concernant leur «emplacement géographique en temps réel». Une collecte effectuée après acceptation de la licence, et étendue aux applications disponibles sur l’Apple Store.
A chaque installation d’une application de ce type, l’utilisateur peut accepter, ou pas, la localisation. En outre, Cupertino avait pris le soin de préciser que ces données seraient anonymes et ne permettraient pas d’identifier tel ou tel utilisateur étui blackberry bold 9700.
« Ces données de position sont collectées anonymement sous une forme qui ne vous identifie pas personnellement et sont utilisées par Apple et ses partenaires et licenciés pour fournir et améliorer des services et des produits reposant sur la localisation ».
Traçage, flicage ?
En revanche, et c’est le point le plus sensible, elles permettent donc de « tracer » un utilisateur, et nos deux chercheurs proposent une application pour justement découvrir ses données, et visualiser son parcours sur une carte. On imagine les possibilités d’intrusion et d’enquêtes. Impossible de cacher quoi que ce soit avec un iPhone !
Même si la découverte de ces chercheurs n’en est pas une, plusieurs questions restent en suspens (conservation des données, anonymat…). Les deux chercheurs disent avoir justement contacté Apple sur ces sujets, et attendent toujours une réponse