Selon la CNIL, votre iPhone bavarde avec Apple pendant votre sommeil…

63

Le site de la CNIL publie un constat étonnant sur les outils de géolocalisation contenus dans les smartphones d'Apple. Des experts de l'institution ont analysé les communications d'un l'iPhone contenant des informations de géolocalisation. Contrairement à d'autres solutions choisies par des concurrents, lorsqu'un utilisateur demande à être géolocalisé, c'est le téléphone lui-même qui calcule sa propre position à l'aide des informations fournies par Apple. Mais surprise : l'iPhone bavarde aussi avec Apple pendant votre sommeil…

Selon la CNIL, votre iPhone bavarde avec Apple pendant votre sommeil…
La CNIL rappelle que "fin Avril 2011, deux universitaires britanniques ont créé le buzz en mettant en lumière qu'une base de données de géolocalisation était utilisée par les iPhones d'Apple et sauvegardée sur le PC de l'utilisateur. Cette base de données contenait la position des points d'accès WiFi et des stations de base GSM situés à proximité du parcours de l'utilisateur d'un iPhone pendant une période d'un an environ". L'institution avait alors interrogé Apple sur ses techniques et obtenu quelques précisions et une modification du système d'exploitation (OS) de l'iPhone. De son côté Apple avait déclaré que les fichiers recueillis ne lui étaient pas transmis. Ce qui a depuis été démenti par des tests réalisés aux USA. Apple avait d'ailleurs désactivé d'autres "petits espions" intégrés dans ses téléphones !
Pour vérifier ce qu'il en était à ce jour, des experts de la CNIL ont mis sous surveillance un iPhone 3Gs connecté à un réseau WiFi. Ils ont analysé ses communications et observé les données de géolocalisation qu'il transmet à Apple. La confidentialité de ces communications est protégée par le protocole de chiffrement SSL/TLS et il a donc fallu mettre en place un dispositif d'interception particulier pour accéder à leur contenu. De leur travail, nous publions ci-dessous les conclusions.

Le fonctionnement d'une demande de géolocation

Lorsqu'un utilisateur d'iPhone demande à être géolocalisé, en utilisant par exemple l'application "Boussole" ou "Maps", le téléphone interroge le serveur de géolocalisation d'Apple. Cet échange observé se limite à quelques messages :
• Le téléphone envoie à Apple une courte liste des quelques points d'accès WiFi qu'il a détectés à proximité. Ces points d'accès sont identifiés uniquement par leur adresse MAC, sans aucune autre information complémentaire (telle que la localisation, la force du signal ou le SSID).
• Le serveur d'Apple répond avec une longue liste répertoriant la localisation de plusieurs centaines de points d'accès WiFi situés autour du téléphone, dans un rayon de 150 mètres environ. Chaque point d'accès est identifié par son adresse MAC associée à sa position géographique. Ces informations sont complétées par quelques données techniques.

L'observation du téléphone pendant plusieurs nuits a permis de découvrir que l'iPhone contacte également les serveurs de géolocalisation d'Apple ponctuellement sans aucune intervention de l'utilisateur, dès lors qu'il est allumé et connecté à un point d'accès WiFi. Cet échange est simple : l'iPhone envoie à Apple des informations sur les points d'accès WiFi qu'il a "vus" dans les heures ou les jours précédents. Ces points d'accès WiFi sont identifiés par leur adresse MAC associée à la force du signal mesuré et la position géographique (GPS) du téléphone au moment de la mesure (ainsi que d'autres données techniques complémentaires, à l'exclusion du SSID).
Les requêtes observées contenaient un ou deux points géographiques associés chacun à un peu plus d'une dizaine de points d'accès WiFi détectés.
C'est ainsi, semble-t-il, que les serveurs d'Apple enrichissent et mettent à jour leur base de données de géolocalisation WiFi, en mettant à contribution les utilisateurs d'iPhone pendant leur sommeil.

La CNIL veut en savoir plus

Apple semble avoir adopté une approche originale pour offrir son service de géolocalisation basé sur la détection de points d'accès WiFi : lorsqu'un utilisateur demande à être géolocalisé, c'est le téléphone lui-même qui calcule sa propre position à l'aide des informations fournies par Apple.
Pour construire sa base de données de géolocalisation, Apple fait ce qu'on appelle du "crowd sourcing" : les iPhone sont mis à contribution pour construire sa base de données géographique de points d'accès WiFi. A l'insu de l'utilisateur, le téléphone transmet périodiquement des informations sur les points d'accès WiFi qu'il a vus lors de ses déplacements, ce qui enrichit la base de données d'Apple.

Les utilisateurs ignorent certainement que leur téléphone "travaille" ainsi pour Apple. La CNIL souhaite s'assurer que ce mécanisme ne se transforme pas en un outil permettant de tracer les personnes. De ce point de vue, les analyses réalisées par les experts de la CNIL indiquent que les communications entre l'iPhone et Apple ne contiennent pas d'identifiant unique ou autre information permettant d'identifier le téléphone. Ce choix technique, confirmé récemment dans un courrier par Apple, rend cette collecte en principe anonyme et élimine donc largement le risque de traçage des personnes. Néanmoins, Apple devrait informer clairement ses utilisateurs de ce type de traitement.
La CNIL précise qu'elle ne ne manquera pas de continuer à dialoguer avec Apple sur ces points. Cette analyse technique ne préjuge d'ailleurs pas de la conformité de ce dispositif au regard de la loi Informatique et Libertés. Des travaux similaires sont également en cours sur les téléphones des systèmes concurrents, notamment Android. On rappellera enfin que la Commission a récemment émis des recommandations relatives à la collecte d'informations issues des points d'accès WiFi.

Cette article est issu du site de la CNIL