La nouvelle a secoué les utilisateurs iOS le 10 octobre : une fonction de Safari enverrait l’IP de ses utilisateurs au conglomérat Tencent, réputé proche du Parti communiste chinois. Apple tente de se justifier, un cryptologue vient calmer le jeu.

Acte 1 : Apple soupçonné d’envoyer des données à Tencent

C’est le site Reclaim The Net qui, le premier, a rapporté la nouvelle : Safari, pour avertir un utilisateur qu’il est sur un site soupçonné d’hameçonnage ou malveillant, envoie des informations personnelles de ce dernier à Google et surtout à Tencent.

L’information est renseignée dans la section « Safari et la confidentialité » des appareils iOS. L’adresse IP et l’adresse URL d’un site visité sont susceptibles d’être transmises à Navigation sécurisée de Google et Tencent Safe Browsing. Via la fonction « Alerte si site web frauduleux » activée par défaut (mais désactivable répond Apple) sur le moteur de recherche.

Capture d'écran de la rubrique Safari et la confidentialité sur iOS 13

Capture d’écran de la rubrique Safari et la confidentialité sur iOS 13

En choisissant le pire des scénarios « Alerte si site web frauduleux » pourrait envoyer, pour vérification, l’URL de chaque site visité à Tencent afin de s’assurer de la viabilité du site, entraînant un suivi constant de l’utilisateur par l’entreprise.

Cette révélation viendrait s’ajouter aux multiples marques de déférence de l’entreprise de Tim Cook envers le régime de l’Empire du Milieu. Le 9 octobre deux applications ont été censurées de l’App store à Hong Kong, HKmap.live et Quartz news. La première indiquait les zones d’affrontements entre police et manifestant, l’autre est un site d’information américain qui couvrait les événements. Auparavant, à la faveur d’une mise à jour d’iOS, disparaissait également le drapeau taïwanais de la liste des emojis disponible à Hong Kong et Macao.

Acte 2 : Apple cherche à se justifier

Selon Apple, si Safari utilise Tencent Safe Browsing pour contrôler les sites frauduleux, c’est parce que Google est interdit en Chine. Le service de l’entreprise chinoise ne servirait que pour les appareils iOS enregistrés avec le code régional chinois, dans le reste du monde c’est bien Mountain View qui se charge des vérifications.

Sur le plan technique la fonction « Alerte si site web frauduleux » de Safari, n’enverrait aucune donnée que ce soit à Tencent ou Google a expliqué Apple à The Verge, « Safari vérifie si l’adresse URL d’un site recherché fait partie d’une base de données de sites frauduleux et le signale directement à l’utilisateur si c’est le cas. Pour ce faire, Safari utilise une liste de sites malveillants connus, compilée par Google et, pour les appareils dont la région d’utilisation est la Chine continentale, Tencent. La véritable URL que l’utilisateur visite n’est jamais vraiment partagée avec ses entités – simplement une copie ».

Acte 3 : Un cryptologue dédramatise l’affaire sans manquer d’écorcher Apple

Matthew Green, cryptologue à l’université Johns Hopkins a précisé sur son blog personnel la façon dont fonctionne la technologie de vérification Safe Browsing de Google, ignorant si Tencent procède de la même manière.

Portrait de Matthew Green, cryptologue

Matthew Green, cryptologue. Crédit : cryptographyengineering

Pour résumer, le service de Google transforme une URL dangereuse en une forme simplifiée, un préfixe. Ce préfixe est contenu dans la base de données locale du navigateur de l’utilisateur. Lorsque ce dernier tombe sur un site dont l’URL contient un préfixe répertorié une demande est envoyée à Google pour confirmer si le site est bien répertorié comme malveillant.

Selon Matthew Green c’est là que tout se joue, « À chacune de ces demandes, les serveurs de Google voient votre adresse IP, ainsi que d’autres informations d’identification telles que l’état de la base de données. Il est également possible que Google dépose un cookie dans votre navigateur lors de certaines de ces demandes ».

Avec cette méthode, il n’y a qu’à l’occasion de la visite d’un site malveillant que des informations sont envoyées à Google. En voyant le verre à moitié vide, on constate que des informations sont envoyées, et face aux nombres de sites visités par un internaute les données personnelles récupérées ainsi peuvent se multiplier facilement. Navigation sécurisée de Google pourrait être capable, de façon malintentionné, de « désanonymiser un utilisateur » explique le cryptologue.

Pour le chercheur il y a un choix à faire entre la sécurité dans sa navigation et son anonymat. Pour lui, cette perte d’anonymat en vaut la peine, « Bien que Google a certainement les capacités pour extraire une donnée dans le bruit des résultats de la navigation sécurisée, il semble peu probable qu’ils s’en donnent la peine. (Ou du moins, nous espérons que quelqu’un sifflerait s’il essayait.) ».

Le problème provient davantage de la dissimulation de l’arrivée de Tencent par Apple que l’arrivée de Tencent même. Si l’utilisateur veut faire confiance à Tencent, c’est son droit, mais il doit le faire en toute connaissance de cause. À terme cette polémique pose surtout l’éternel dilemme entre le choix de la sécurité et celui de la confidentialité.