Safari sur iOS envoie des données de navigation à Tencent

Apple grand défenseur de la confidentialité de ses utilisateurs ? Oui, mais… par le biais de son option, activée par défaut, signalant les sites malveillants, la marquer à la pomme transmet des informations de navigation au géant chinois Tencent. Sans s’en vanter, sans même communiquer sur le sujet, alimentant spéculations et paranoïa.

Depuis longtemps déjà Apple utilise sur Safari l’API « Update » de Google. Celle-ci permet de détecter un site malveillant et de le signaler à l’internaute avant qu’il ne soit trop tard. Sur iOS, ce mécanisme fait partie de l’option Fraudulent Website Warning, activée par défaut. L’histoire de cette API de Mountain View a fait en son temps couler beaucoup d’encre.

A ses débuts, l’API consistait simplement, pour le navigateur, à interroger Google quant à la sécurité d’une URL. Ce qui impliquait alors que Google recevait non seulement l’URL du site que l’internaute visitait, mais aussi son adresse IP (et pendant un certain temps le géant en profitait pour déposer un cookie, ce qui lui a valu de se faire taper sur les doigts). Face à la grogne, Google a changé son fusil d’épaule.

Un souci de confidentialité

Son système de Safe Browsing a dû s’adapter, en hashant (en SHA 256) toutes les URL malveillantes de sa base de données, ne conservant toutefois comme identifiant qu’un préfixe de 32 caractères. Ainsi, via une nouvelle iteration de son API baptisée update, le navigateur hashe l’URL du site visité et consulte la base de données, ou du moins sa copie locale dans le navigateur. S’il découvre une correspondance avec l’un des préfixes, le hash de l’URL est envoyé à Google, toujours avec l’IP, pour vérification.

Tencent procède-t-il de la sorte ou au contraire reçoit-il l’URL en clair ? Nul ne le sait, excepté Tencent lui-même. Et voilà qu’Apple utilise désormais Tencent Safe Browsing en complément de Google Safe Browing. Un chercheur de l’université John Hopkins de Baltimore, Matthew Green, a mis le doigt sur cette nouveauté d’iOS 13… quoiqu’il semble qu’elle ait été implémentée dès iOS 12.2 en février dernier.

Les deux face d’Apple

Quoique le message soit affiché pour tous les utilisateurs d’iOS 13, seuls les utilisateurs situés en Chine semblent concernés. Mais toujours est-il que, selon l’universitaire, cette décision d’Apple pose questions. Quand bien même les URL sont hashés, il faut peu d’efforts pour dés-anonymiser l’internaute et son historique de navigation, tandis que l’adresse IP peut être utilisé en parallèle d’autres services sur lesquels cette adresse IP est enregistré pour faire le profil de l’utilisateur. Cela implique-t-il que Tencent va faire de la sorte ? Non.

Le problème, finalement, est moins Tencent Safe Browsing que le silence assourdissant d’Apple sur le sujet. Matthew Green le rappelle, la marque à la pomme ne manque jamais de communiquer sur ses efforts en matière de respect de la confidentialité et de la vie privée de ses utilisateurs. Pourtant, dès lors qu’il s’agit de la Chine, Cupertino reste muet et fournit le moins de détails possibles. « Apple donne de plus en plus l'impression d'être deux sociétés différentes : l'une qui donne la priorité à la liberté de ses utilisateurs et l'autre qui traite ses utilisateurs de manière très différente » conclut le chercheur.