X

Safari sur iOS envoie des données de navigation à Tencent

Apple grand défenseur de la confidentialité de ses utilisateurs ? Oui, mais… par le biais de son option, activée par défaut, signalant les sites malveillants, la marquer à la pomme transmet des informations de navigation au géant chinois Tencent. Sans s’en vanter, sans même communiquer sur le sujet, alimentant spéculations et paranoïa.

Depuis longtemps déjà Apple utilise sur Safari l’API « Update » de Google. Celle-ci permet de détecter un site malveillant et de le signaler à l’internaute avant qu’il ne soit trop tard. Sur iOS, ce mécanisme fait partie de l’option Fraudulent Website Warning, activée par défaut. L’histoire de cette API de Mountain View a fait en son temps couler beaucoup d’encre.

A ses débuts, l’API consistait simplement, pour le navigateur, à interroger Google quant à la sécurité d’une URL. Ce qui impliquait alors que Google recevait non seulement l’URL du site que l’internaute visitait, mais aussi son adresse IP (et pendant un certain temps le géant en profitait pour déposer un cookie, ce qui lui a valu de se faire taper sur les doigts). Face à la grogne, Google a changé son fusil d’épaule.

Un souci de confidentialité

Son système de Safe Browsing a dû s’adapter, en hashant (en SHA 256) toutes les URL malveillantes de sa base de données, ne conservant toutefois comme identifiant qu’un préfixe de 32 caractères. Ainsi, via une nouvelle iteration de son API baptisée update, le navigateur hashe l’URL du site visité et consulte la base de données, ou du moins sa copie locale dans le navigateur. S’il découvre une correspondance avec l’un des préfixes, le hash de l’URL est envoyé à Google, toujours avec l’IP, pour vérification.

Tencent procède-t-il de la sorte ou au contraire reçoit-il l’URL en clair ? Nul ne le sait, excepté Tencent lui-même. Et voilà qu’Apple utilise désormais Tencent Safe Browsing en complément de Google Safe Browing. Un chercheur de l’université John Hopkins de Baltimore, Matthew Green, a mis le doigt sur cette nouveauté d’iOS 13… quoiqu’il semble qu’elle ait été implémentée dès iOS 12.2 en février dernier.

Les deux face d’Apple

Quoique le message soit affiché pour tous les utilisateurs d’iOS 13, seuls les utilisateurs situés en Chine semblent concernés. Mais toujours est-il que, selon l’universitaire, cette décision d’Apple pose questions. Quand bien même les URL sont hashés, il faut peu d’efforts pour dés-anonymiser l’internaute et son historique de navigation, tandis que l’adresse IP peut être utilisé en parallèle d’autres services sur lesquels cette adresse IP est enregistré pour faire le profil de l’utilisateur. Cela implique-t-il que Tencent va faire de la sorte ? Non.

Le problème, finalement, est moins Tencent Safe Browsing que le silence assourdissant d’Apple sur le sujet. Matthew Green le rappelle, la marque à la pomme ne manque jamais de communiquer sur ses efforts en matière de respect de la confidentialité et de la vie privée de ses utilisateurs. Pourtant, dès lors qu’il s’agit de la Chine, Cupertino reste muet et fournit le moins de détails possibles. « Apple donne de plus en plus l'impression d'être deux sociétés différentes : l'une qui donne la priorité à la liberté de ses utilisateurs et l'autre qui traite ses utilisateurs de manière très différente » conclut le chercheur.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Débats

Offres d'emploi informatique avec  Emploi en France
jooble

Ansible

Ansible

Ansible tient une assez belle place dans le palmarès des outils favoris des DevOps. Il permet d’automatiser des traitements sur un parc de machines. Nous allons voir quelles sont ses possibilités en la matière.

Transfo avec Salesforce

Transfo avec Salesforce

Dreamforce, conférence géante à San Francisco, regroupait cet automne près de 170000 personnes sur place et près de 15 millions en ligne. Marc Benioff a multiplié les annonces à cette occasion pour...

PowerShell DSC

PowerShell DSC

DSC est la solution DevOps de Microsoft disponible à partir de la version 4 de Powershell pour Windows et de la 6 core pour Linux.

Cybersécurité de l'industrie

Cybersécurité de l'industrie

Mis à part les OIV, bon nombre d’installations industrielles françaises sont vulnérables aux cyberattaques. Système non mis à jour, absence de briques de sécurité de base et défense...

Le stockage s'unifie

Le stockage s'unifie

Jusqu’à présent, on marquait la différence entre stockage primaire, stockage secondaire et archivage. Les baies et les logiciels étaient spécifiques. Ce n’est plus le cas et les variations...

RSS
Afficher tous les dossiers

20 TECHNOS pour 2020 et au-delà... : multicloud, rpa, edge&fog, apis, quantique... - La transfo numérique exemplaire d'une PME industrielle - BYOK : chiffrer le Cloud - L'Open Source teinté d'Orange - Mettre de l'intelligence dans l'APM - Le disque dur fait de la résistance - CI/CD as a Service - Digital Campus, n°1 des écoles du numérique...

 

L'IA AU COEUR DES MÉTIERS : retours d'expérience Cemex, Lamborghini, Decathlon, HSBC - Google Cloud Platform : tout sur la migration ! - Edge Computing, chaînon manquant - Cybersécurité : lutter contre l'ennemi intérieur - Ansible, outil de prédilection des DevOps - Docker, de Montrouge à la roche tarpéienne...

 

VILLE NUMÉRIQUE : la transfo d'Issy-les-Moulineaux - Comment le Stockage s'unifie - Brexit : quelles conséquences pour l'industrie numérique ? - Google a-t-il vraiment atteint la suprématie quantique ? - La cyberprotection des sites industriels en question - PowerShell DSC - Epitech Digital...

 

Afficher tous les derniers numéros

OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Tous les Livres Blancs
Derniers commentaires
Des puces utilisées par le programmateur Vladislav Zaïtsev, adepte du Avec son scalpel, Vladislav Zaïtsev fait une incision entre l'index et le pouce de son patient et y glisse un petit cylindre en verre: une puce sous-cutanée qui permettra à son propriétaire d'ouvrir la porte de son bureau. [Lire la dépêche...]

La société spatiale privée Space X a raté lundi l'atterrissage sur une barge en mer du premier étage de sa fusée réutilisable Falcon 9, qui aurait été le 50ème atterrissage réussi. [Lire la dépêche...]

Mark Zuckerberg à la Commission européenne, à Bruxelles, le 17 février 2020Le patron de Facebook, Mark Zuckerberg, était reçu lundi par la Commission européenne pour discuter de la régulation sur internet, deux jours avant la présentation par Bruxelles de sa stratégie sur l'intelligence artificielle. [Lire la dépêche...]

Le secrétaire d'Etat au numérique Cedric O, le 15 janvier 2020 lors d'une réunion à l'ElyséeIl faut "rétablir la peur du gendarme" sur internet, en permettant notamment à la justice et à la police d'intervenir plus rapidement en cas de violation de la loi en ligne, a estimé lundi le secrétaire d'Etat au numérique Cédric O, après l'affaire Griveaux. [Lire la dépêche...]

Les associations Agir pour l'Environnement et PRIARTEM vont déposer quatre recours devant le Conseil d'Etat contre le déploiement de la 5G, considérant que cette technologie représente des risques pour la santé et l'environnementLes associations Agir pour l'Environnement et PRIARTEM vont déposer lundi quatre recours devant le Conseil d'Etat contre le déploiement de la 5G, considérant que cette technologie représente des risques pour la santé et l'environnement, a annoncé leur avocat François Lafforgue. [Lire la dépêche...]

La secrétaire d'Etat à la Transition écologique Brune Poirson, le 12 février 2020 à l'ElyséeLa secrétaire d'Etat à la Transition écologique, Brune Poirson, réunit lundi les fabricants de lave-linge pour préparer l'application d'une mesure adoptée dans la loi pour l'économie circulaire: l'installation de filtres à microfibres plastiques dans les machines à laver neuves. [Lire la dépêche...]

Un data center dans la banlieue de Paris, en février 2019Big brother à la chinoise ou simple moyen de paiement, la reconnaissance faciale divise et Bruxelles lancera mercredi un grand débat sur l'intelligence artificielle, bien décidé à prévenir les dérapages. [Lire la dépêche...]

Le Chaque trimestre, Amazon, Microsoft et Google en tirent des recettes record. C: l'internet des objets va décupler les usages des nuages. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

BIG DATA

Conférences et exposition sur le Big Data les 9 et 10 mars 2020 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Corp Agency.

IT PARTNERS

Événement du "channel" IT, télécoms et audiovisuel, IT Partners a lieu les 11 et 12 mars 2020 à Disneyland Paris (Disney Events Arena-Ventury). Organisé par Reed Expositions.
RSS
Voir tout l'AgendaIT
0123movie