Critiquée depuis quelques jours du fait de l’utilisation de l’API de Safe Browsing de Tencent dans Safari, la marque à la pomme s’est justifiée, expliquant que les URLs ne sont pas partagées avec le géant chinois. En revanche, les adresses IP le sont bel et bien…
Hier, nous évoquions les critiques adressées à Apple quant à son utilisation de l’API de Safe Browsing de Tencent. Depuis des années, Safari exploite l’API Update de Google afin de détecter des sites malveillants et d’en avertir l’internaute. Mais depuis plusieurs mois, Cupertino utilise également le mécanisme de Safe Browsing de Tencent. Un ajout discret, qui ne concerne que les utilisateurs en Chine continentale mais qui inquiète.
En butte aux critiques, Apple s’est fendu d’un communiqué envoyé à la presse anglo-saxonne. Il n’y explique pas le choix de Tencent quoique celui-ci paraisse logique, Google étant bloqué en Chine. « Apple protège la confidentialité de l'utilisateur et protège vos données avec Safari Fraudulent Website Warning, une fonctionnalité de sécurité qui marque les sites Web réputés malveillants » écrit la marque à la pomme.
L’URL n’est pas partagée
« Pour ce faire, Safari reçoit une liste de sites Web réputés malveillants de Google. Pour les appareils dont le code de région est défini sur la Chine continentale, il en reçoit une liste de Tencent ». En d’autres termes, comme dans le cas de l’API de Google, l’URL est vérifiée dans une copie locale de la base de données d’URLs malveillantes connues de Tencent.
« L'URL réelle d'un site Web que vous visitez n'est jamais partagée avec un fournisseur de navigation sécurisé » assure Apple. Néanmoins, une version hashée de l’URL est susceptible d’être transmise à Tencent. Quant à l’adresse IP de l’utilisateur, celle-ci est assurément partagée.