La semaine dernière, des chercheurs ont rapporté que plusieurs applications Apple récoltaient des données d’utilisateurs, même quand on leur demandait de ne pas le faire, une découverte qui a donné lieu à une class action. Mais un suivi suggère que la situation pourrait être encore pire que prévue. Les deux mêmes développeurs iOS (et chercheurs en sécurité occasionnels) qui publient sous le compte Twitter Mysk affirment désormais avoir repéré des numéros d'identification uniques dans les données d'utilisation envoyées à Apple, ce qui semble contredire les déclarations de l’entreprise qui affirme que toutes ces données sont anonymes.
Comme l’expliquent les développeurs dans leur tweet, « les données analytiques d'Apple comprennent un identifiant appelé dsID qui identifie de manière unique un compte iCloud ». Ce qui signifie que les données analytiques d'Apple peuvent identifier tout utilisateur individuellement. Dans un thread en six parties, ces derniers montrent que des numéros DSID (Directory Services Identifier) cohérents apparaissent dans les données récoltées. Ils publient aussi une vidéo qui montre le déroulement du processus en temps réel :
« Le DSID est associé au nom, à l’adresse électronique et à toutes les données du compte iCloud de l’utilisateur », écrivent les chercheurs, ce qui signifie qu'Apple (et théoriquement les partenaires publicitaires tiers) pourrait lier spécifiquement les applications sur lesquelles clique l’utilisateur et les publicités qu’il visualise. Bien sûr, il est possible qu'Apple ne scrute pas réellement le DSID et préserve l’anonymat des données, mais le fait que ce Directory Services Identifier soit inclus dans les conclusions de Mysk est troublant.
Des déclarations contradictoires
Cela semble également aller à l'encontre de la déclaration d'Apple sur l'analyse des appareils et la confidentialité, l’entreprise affirmant clairement qu'aucune des informations collectées ne permet d’identifier l’utilisateur personnellement. Plus loin, dans le même document, Apple indique que, même si elle peut corréler certaines données d'utilisation des applications Apple sur ces appareils par le biais d'une synchronisation utilisant un cryptage de bout en bout, elle le fait d'une manière qui ne permet pas d’identifier l’utilisateur auprès d'Apple. Comme le souligne The Verge, les conditions de confidentialité séparées de l'App Store d'Apple selon lesquelles « les informations relatives à la navigation, aux achats, aux recherches et aux téléchargements… sont stockées avec l'adresse IP, un identifiant unique aléatoire (quand il existe) et l'identifiant Apple quand l’utilisateur est connecté à l'App Store ou à d'autres boutiques en ligne Apple », sont quelque peu contradictoires et plus vagues.
Selon Mysk, une fois de plus, les informations envoyées à Apple n'ont pas été affectées par la désactivation de l'option « Partager l'analyse de l'iPhone » (Confidentialité/Analyse et améliorations). Il n'y a pas de moyen apparent de l’empêcher, sauf en choisissant de ne pas utiliser l'App Store et les autres applications iOS impliquées dans la recherche. Apple n'a pas encore répondu à ces allégations, qui ont émergé au début du mois. Ces dernières années, de nombreux utilisateurs de smartphones semblent désabusés sur la collecte de données, comme en témoignent les commentaires et les haussements d’épaules envoyés après la publication de cette histoire par Gizmodo : « Tous les géants de la technologie s'y mettent, se disent les gens, et cela ne me touche pas directement ». Mais, outre la contradiction apparente de rompre une promesse explicite de ne pas le faire, Apple pourrait être impactée par cette révélation parce que, depuis un certain temps, elle s’est fabriquée l’image d’entreprise technologique la plus respectueuse de la confidentialité. Ce respect des données pourrait désormais aller à l'encontre de l'activité publicitaire croissante d'Apple, l’entreprise ayant la possibilité de tirer profit d’une source importante de données détaillées sur les utilisateurs.