geolocalisation apple grotesqueHello world!

Ces derniers jours on parle beaucoup de téléphones mobiles, en effet la polémique fait rage que ce soit du coté d'apple ou de google. C'est la publication des chercheurs Alasdair Allan et Peter Warden qui a mis le feux aux poudre, ils ont découvert que les iPhones et l'iPads 3G conserve à l’insu des utilisateurs un log de leur positions géographiques. Facilement accessible dans un fichier nommé Consolidated.db celui-ci contient les coordonnées géographique de vos déplacements (latitude / longitude) ainsi que le timestamp correspondant (l'heure). Il est donc possible de connaître vos déplacements depuis le début d'enregistrement du log, certains utilisateurs ont pu remonter jusqu'à plus d'un ans.

La presse spécialisée a traité le sujet en long et en large j'ai donc pas mal hésité à écrire ce billet d'autant plus que tous les fanboys vont encore me sauter dessus m'expliquant que je suis un parano anti-apple. Malgré tout l'affaire me semble assez importante pour que l'on essaye d'en comprendre les tenants et aboutissants.

Un problème de sécurité majeur?

J'aimerai commencer ce paragraphe en vous rappelant quelques chiffres clef assez éloquents. En 2008 dans les aéroports américains 12 000 ordinateurs portables étaient perdues chaque semaine avec un taux de retour avoisinant les 35%. En 2010 ce chiffre est passé à 800 000 ordinateurs portables égarés chaque année dans les aéroports européens et américains. Rien que pour Paris-Charles de Gaulle c'est 733 ordinateurs perdus, volés ou oubliés chaque semaine. Étonnant non?

Concernant les données de géolocalisation des iPhones on sait que:
- Ces données sont incluses dans les sauvegardes du téléphone et seront remontées en cas de restauration de ce dernier.
- Même si les fonctions de géolocalisation sont désactivées IOS continue d'alimenter le log.
- Les coordonnées enregistrées sont générées par triangulation (par rapport aux antennes GSM).
- Ces données sont envoyées régulièrement à Apple et stockées dans une base de données crowdsourcée.
- Le log Consolidated.db est accessible en clair (pas de chiffrement) et n'est jamais purgé.

Il ne faut pas se voiler la face, l'espionnage industriel existe, c'est bien réel et la sécurisation des données est une préoccupation de tous les instants pour certaines entreprises, souvent la localisation d'un employé ou d'un dirigeant l'est également. En effet comment réagirai un concurrent si celui-ci sait que vous avez ouvert des discutions avec tel ou tel partenaire, que tel ou tel spécialiste ou intervenant a travaillé dans telle ou telle entreprise?

L'enregistrement de ces données est une aubaine pour vos concurrents qui veulent savoir avec qui vous avez été en contacts, la régularité de vos déplacements etc. Bah oui, cela permet d'anticiper sur vos stratégies, éventuellement de contre attaquer voir de lancer une grande opération lorsque vous êtes absent de votre poste. Bref je ne vais pas vous faire tous les scénarios possibles et imaginables mais la encore on se fou que le pékin moyen soit allé au supermarché le samedi matin (il suffit de lire son profil facebook pour le savoir) par contre connaître les habitudes et les déplacements occasionnels de certains est d'une grande valeur.

Chacun jugera de l'importance de cacher ces données mais on n'oubliera pas que les iPhones et autres iDevices sont du matériel cher, haut de gamme, réservé à une frange de la population aisée et prisé des responsables en tout genre. Ramenez tout ça aux chiffres cités ci-dessus et comprenez que les matériels à base d'iOS sont des cibles de choix pour les pirates (que l'attaque se fasse à distance en pénétrant la machine ou en volant directement le terminal mobile).

Au regard du public visé, les risques que cela comporte en terme de pertes de données personnelles il me semble inadmissible qu'une entreprise comme Apple d'une part cache à l'utilisateur la collecte de telles informations, les stockent sans aucun chiffrement sans purge et d'autre part force cette collecte (désactivation impossible).



Quel intérêt pour apple?

Il est certain que ce fichier n'est pas un log laissé au hasard, on sait a l'heure actuelle que:

1 - Apple est une entreprise qui vend du hardware, sa division logicielle étant une part assez ridicule de son activité.
2 - Le logiciel est cependant une branche clef pour Apple car sans logiciel (iOS / OSX) la vente de hardware n'a pas lieu d'être.
3 - Le plus grand concurrent d'Apple (qui d'ailleurs l'a dépassé il y pas longtemps) est Google via Android, une entreprise qui vend du service.
4 - Apple doit développer du service s'il veut subsister face à Google.
5 - Les données utilisateurs collectées sont envoyés vers Apple qui construit une base de données crowdsourcée.

On peut donc dire sans trop se mouiller que sans le savoir les utilisateurs d'iDevices travaillent pour le compte d'apple en construisant une base de donnée. Rien de choquant la dedans? Steve Jobs à lui même laissé sous entendre que des annonces seraient faites dans un futur lointain à propos des services construits autour de ces bases de données, reste maintenant à savoir quel sont-ils? Publicité géolocalisé ou autre les pronostics sont ouverts ...

A pars ça n'oubliez pas, Apple est une entreprise qui vous veut du bien ...

Les autorités s'empare du dossier:

Suite à l'affaire Consolidated.db d'Apple, google a été interrogé à propos d'un équivalent sous Android et a reconnu la présence d'un tel fichier mais qui est purgé régulièrement et surtout sous Android la collecte de telles informations et totalement désactivable. Malgré tout aux USA des utilisateurs portent plainte contre Apple et Google et compte bien continuer en class action. Le congrès américain a demandé à Google et Apple de s'expliquer sur la question alors qu'en france les régulateurs, dont la CNIL, cherchent à en savoir plus sur ces dispositifs.

Pour conclure je dirai que c'est à chacun de voir midi à sa porte, peut-être que certains se rendrons "enfin" compte qu'Apple est une entreprise comme les autres. Certainement pire même ...
Partager sur:
A propos de l'auteur:
Guillaume Jeantet: titulaire d'une licence pro et fort de quelques années d'expériences je suis administrateur système et développeur mais surtout un autodidacte dynamique et passionné. Je partage sur UBDT mes coups de coeurs et astuces.

Autres articles qui pourraient vous intéresser.

windows 10 mobile anniversary updateWindows 10 mobile anniversary update disponible
L'anniversary update de windows 10 mobile est maintenant disponible.
orange sud aveyronLa couverture mobile orange va s'améliorer dans le sud aveyron
Le réseau mobile d'orange va s'améliorer à Saint-Afrique, Montagnol , Combret, Trebas, Plaissance, Coupiac et Alrance, de nouvelles antennes 3g vont être mises en service.
free mobile 18001800 MHz pour Free Mobile le déploiement commence.
15Mhz duplex seront restitués à Free Mobile sur la bande de 1800 mhz lui permettant d'améliorer sa couverture réseau et proposer la 4g+.
securite nfc paiementDoit-on faire confiance aux paiement sans contact NFC
Doit-on vraiment faire confiance au paiement sans contact. Renaud Lifchitz nous prouve que les cartes bancaires NFC ne sont pas du tout sécurisées.
resydev logciel libre audeReSyDev spécialiste informatique libre dans l'Aude
Spécialiste des solutions informatiques libres dans le département de l'aude ReSyDev est une nouvelle ENL (Entreprise du Numérique Libre): virtualisation, monitoring, install réseau, sécurité, maintenance des systèmes, déploiement d'ERP/CRM, solution de travail collaboratif, contrôleur de domaine/serveur de fichier/impression, sauvegarde etc.

Proposer un nouveau commentaire

Votre pseudo s'il vous plaît :

Email (Facultatif, n'est pas affiché et permet de recevoir des notifications de validation / réponses):

Votre site Web (facultatif) :

Exprimez vous :

:arrow::D:confused::cool::cry::eek::evil::!::idea:lol:mad::|:?::p:redface::rolleyes::(:):wink: