Apple se défend de partager les données de ses utilisateurs avec le chinois Tencent

Depuis 2 jours, Apple est pris dans la tourmente. Le géant à la Pomme livrerait des informations personnelles à Tencent via le navigateur Safari. Mais Apple s'en défend : l’échange entre Safari et Tencent ne concerne que le territoire et Chinois, et dans tous les cas, ni Google ni Tencent n’auraient accès à l’URL complète.

Apple a toujours insisté sur la protection des données des utilisateurs de ses produits. Une idée bien ancrée dans l’esprit de mal de gens, que les faits ont pourtant régulièrement mis à mal. En fin d’année dernière par exemple, un sondage indiquait qu’en matière de protection de la vie privée, Apple était jugé moins bon que Microsoft, Facebook et Amazon. Plus récemment, Apple a été accusé de vendre les données personnelles des utilisateurs d’iTunes. Une nouvelle affaire ne devrait pas améliorer les choses pour la marque à la pomme, soupçonnée de partager les données de navigation avec le géant chinois Tecent, à qui l’on doit notamment Call of Duty Mobile. Apple a officiellement répondu aux accusations.

Tout a débuté lorsque Matthew Green, professeur en cryptographie à l'Université Johns Hopkins, a remarqué que la fonctionnalité « Safe Browsing » présente dans le navigateur Safari d’iOS stipulait quelques conditions suspectes. Dans les paramètres de confidentialité, il est indiqué que les données de navigation sont susceptibles d’être partagées avec Google Safe Browsing et Tencent Dafe Browsing. La fonctionnalité, initialement pensée pour protéger l’utilisateur des sites frauduleux, peut cependant révéler la page Web que vous essayez de visiter, votre adresse IP, et déposer un cookie sur votre appareil. Des données potentiellement utilisables pour établir un profil de comportement de navigation.

Les explications d’Apple

Si jusqu’à présent, Apple faisait appel aux services de Google pour fournir une navigation sécurisée, avec iOS 13 et macOS Catalina, en Chine, la firme a dû se tourner vers Tencent pour se conformer à la réglementation. Mais la société rassure tout le monde, les URL réelles ne sont pas partagées, et les données des utilisateurs non chinois ne sont pas communiquées à Tencent. Voici la déclaration d’Apple à nos confrères de Bloomberg :

« Apple protège la vie privée des utilisateurs et protège vos données avec Safari Fraudulent Website Warning, une fonction de sécurité qui signale les sites Web connus pour être de nature malveillante. Lorsque cette fonction est activée, Safari vérifie l'URL du site Web par rapport à des listes de sites Web connus et affiche un avertissement si l'URL que l'utilisateur visite est soupçonnée de conduite frauduleuse comme du phishing. Pour accomplir cette tâche, Safari reçoit une liste de sites Web connus comme étant malveillants de la part de Google, et pour les appareils dont le code régional est réglé sur Chine continentale, il reçoit une liste de Tencent. L'URL réelle d'un site Web que vous visitez n'est jamais partagée avec un fournisseur de navigation et la fonction peut être désactivée. »

Apple explique ensuite en détail le processus. Safari échange directement avec les serveurs de Google ou de Tencent lors d’une demande de vérification d’une URL, qui se limite à un préfixe. Les serveurs envoient une liste d’éventuelles URL malveillantes basées sur ce préfixe. Mais c’est Safari qui se charge ensuite d’établir une correspondance complète sur l'appareil hôte, afin que l'URL réelle ne soit pas partagée avec Google ou Tencent.

Et pour ceux qui ne se satisferaient pas de ces explications, il est toujours possible de désactiver la fonctionnalité « Safe Browsing ». Sur Safari, il suffit de se rendre dans Paramètres → Safari → Safari → Avertissement de site Web frauduleux. Sur Mac, l’option est dans Safari → Préférences → Préférences → Sécurité → Avertir lorsque vous visitez un site Web frauduleux.

Source : Bloomberg