Apple devrait dévoiler ces 4 mises à niveau de confidentialité à WWDC

La conférence mondiale des développeurs d’Apple n’est que dans six semaines. L’événement est le jour de Noël pour les développeurs qui créent des applications pour les plates-formes MacOS, iOS, tvOS et watchOS d’Apple, alors que Apple présente les dernières avancées prévues pour le logiciel qui alimente les iPhones, Mac, Apple Watch et Apple TV.

Lors de la WWDC de cette année, Apple devrait révéler et publier les versions bêta d’iOS 13 et MacOS 10.15. Contrairement aux produits matériels d’Apple, dont les détails semblent couler des mois avant leur dévoilement, on sait peu de ce que Apple réserve pour les prochains MacOS et iOS. Toutefois, étant donné que Apple s’est récemment concentré sur le marketing et axé sur la confidentialité, il est raisonnable de supposer que la société dévoilera des protections de confidentialité supplémentaires pour les utilisateurs et leurs données dans ses prochains systèmes d’exploitation. Ce que pourraient être ces protections de la vie privée est une conjecture, mais voici mes espoirs.

Sauvegardes cryptées iCloud auxquelles seuls les utilisateurs, et non Apple, peuvent accéder

Apple prend au sérieux la confidentialité de ses utilisateurs et de leurs données. La société a été parmi les premiers à crypter ses périphériques par défaut et à intégrer d’autres protections de la confidentialité dans ses systèmes d’exploitation. Pourtant, les mesures prises par Apple pour protéger vos données sont troublées.

Oui, je parle de sauvegardes iCloud. Il s’agit des sauvegardes d’iPhone et d’iPad effectuées chaque nuit et stockées dans le cloud sur les serveurs d’Apple. Ils aident à garantir que vos données sont récupérables au cas où un appareil Apple serait perdu, volé ou endommagé. Les sauvegardes iCloud permettent aux propriétaires d'iPhone et d'iPad de restaurer leur appareil ou d'en créer un nouveau avec tout ce que leur ancien appareil possédait, des photos aux e-mails en passant par les contacts, les applications, etc.

La particularité des sauvegardes iCloud est qu’alors que les sauvegardes iCloud sont chiffrées lorsqu’elles sont stockées sur les serveurs d’Apple, Apple détient une clé pour ces sauvegardes chiffrées. Cela signifie que toute personne ayant accès aux clés Apple peut extraire vos informations les plus privées et personnelles de votre sauvegarde iCloud, car les sauvegardes iCloud contiennent un clone exact de tout ce qui se trouve sur votre iPhone ou votre iPad. Imaginez ce qu'un pirate informatique ou un harceleur pourrait faire avec cette information?

Je ne suis pas le premier à dire qu’il est temps pour Apple de permettre aux utilisateurs de stocker leurs sauvegardes iCloud chiffrées sur les serveurs d’Apple sans que Apple ait lui-même la clé de ces sauvegardes. Plus tôt cette année, l’Electronic Frontier Foundation a lancé une campagne «Fix It Now», dans laquelle elle a obligé les entreprises de haute technologie à réparer les failles de la vie privée les plus criantes. Dans le cadre de la campagne, l'EFF a déclaré qu'Apple devait apporter des clés d'utilisateur uniquement pour les sauvegardes cryptées iCloud.

Mais il y a une bonne nouvelle: Apple pourrait déjà planifier cela. Comme le souligne l’EFF, le PDG d’Apple, Tim Cook, a fait allusion au fait que Apple avait abandonné l’accès aux clés des sauvegardes iCloud chiffrées lors d’une interview avec Der Spiegel. Comme l'a dit Cook à la publication:

[For iCloud backups], nos utilisateurs ont une clé et nous en avons une. Nous faisons cela parce que certains utilisateurs perdent ou oublient leur clé et attendent ensuite de l'aide de notre part pour récupérer leurs données. Il est difficile d’estimer quand nous allons changer cette pratique. Mais je pense que cela sera réglementé à l'avenir, comme pour les appareils. Nous n'aurons donc pas de clé pour cela à l'avenir.

Améliorations de Safari

Je suis un grand fan de Safari, le navigateur par défaut de MacOS et iOS. C’est rapide, son interface est propre et sa protection de la vie privée est convenable. Cependant, par rapport à certains autres navigateurs, tels que Brave, qui est centré sur la vie privée, il peut apprendre certaines choses.

Premièrement, bien que Safari vous alerte maintenant lorsqu'un site Web n'utilise pas une connexion HTTPS cryptée et sécurisée, Safari ne force pas ce site Web à se connecter via HTTPS s'il est disponible. D'autres navigateurs comme Brave offrent cette protection intégrée. Et avec des navigateurs tels que Chrome et Firefox, les utilisateurs peuvent choisir d'installer l'extension populaire HTTPS Everywhere pour forcer les connexions HTTPS. Etant donné que HTTPS Everywhere n’est pas disponible pour Safari, Apple doit intégrer la technologie dans son navigateur, afin que les utilisateurs bénéficient de la confidentialité et de la sécurité fournies par HTTPS.

Deuxièmement, Apple pourrait faire un meilleur travail pour implémenter son mode de navigateur privé. Bien que Safari prenne en charge les fenêtres de navigation privées, ces modes offrent un faux sentiment de sécurité, car ils ne font que conserver les traces des activités Internet d’un utilisateur enregistrées sur leur ordinateur. Les modes de navigation privés n’empêchent pas votre fournisseur de services Internet, votre entreprise de technologie ou votre entreprise de données de voir ce que vous faites en ligne – bien que la plupart des gens supposent à tort que le mode le fait exactement.

C’est pour cette raison qu’il serait intéressant que Apple suive les traces de Brave et ajoute la prise en charge intégrée de Tor à son mode de navigation privée dans Safari. Il offrirait alors la protection que la plupart des utilisateurs des fenêtres de navigation privées de Safari pensent déjà obtenir.

Troisièmement, comme tous les navigateurs, Safari vous permet d'effacer rapidement votre historique Internet afin que les autres utilisateurs de votre ordinateur ne puissent pas voir où vous avez navigué. Mais, curieusement, lorsque vous effacez votre historique sur Safari sur Mac, Safari n’efface pas les recherches que vous avez effectuées dans la barre d’adresse. Pour cette raison, toute personne ayant accès à votre ordinateur peut voir vos recherches récentes, même si vous avez effacé votre historique Safari (indice: vous devez effacer les recherches manuellement). Il s’agit d’une importante mesure de protection de la vie privée qui devrait être corrigée immédiatement.

Contacts de sécurité

J’ai déjà écrit à ce sujet, comme d’autres, mais cela vaut la peine de le répéter jusqu’à ce que cela soit réglé. La plus grande faille en matière de confidentialité des iPhones et des Mac, ainsi que des PC Windows et des téléphones Android, provient des applications Contacts et Carnet d'adresses de ces plates-formes.

La plupart des applications de contacts, y compris celles de MacOS et iOS, vous permettent de stocker non seulement des noms, adresses, e-mails, numéros de téléphone et dates de naissance de vos contacts, mais également des notes. Malheureusement, de nombreuses personnes y stockent des informations sensibles et personnelles sur leurs contacts. Les parents peuvent enregistrer le numéro de sécurité sociale d’un enfant, par exemple sur la fiche de contact de cet enfant.

Malheureusement, les informations écrites dans ces champs de notes sont stockées en texte brut, ce qui signifie que toute personne ayant accès à vos contacts peut lire les notes, qu’elles aient accès à votre contact avec ou sans votre autorisation. Et le problème est que beaucoup de gens accordent aux applications MacOS et iOS un accès à leurs contacts sans y penser. Lorsque nous accordons à une application l'accès à nos contacts, cette application tire tout du contenu de la carte de contact – notes incluses.

Apple a besoin de fermer ça. Idéalement, l'entreprise pourrait choisir de donner aux utilisateurs le choix des informations de contact qu'ils souhaitent mettre à la disposition d'une application lorsqu'ils accordent à cette application l'accès à leurs contacts. Apple pourrait créer deux catégories, par exemple. «Basique» n’indiquerait que le nom du contact, le numéro de téléphone principal et l’adresse électronique principale à l’application, tandis que «Avancé» inclurait les adresses physique, les autres numéros de téléphone et adresses électroniques du contact.

Apple pourrait aborder cette question de différentes manières. Mais quoi qu’il en soit, aucune note de contact ne doit être accessible par les applications.

Programme de primes pour bogues Mac

Apple propose un programme de prime aux bogues iOS depuis 2016. Ce programme paie les personnes qui découvrent des bogues – y compris des failles de sécurité – dans le système d'exploitation de l'iPhone et les signale à Apple. C’est une solution gagnante pour tout le monde: les personnes qui découvrent des failles de sécurité sont payées pour leur travail et Apple peut corriger la faille et augmenter la sécurité d’iOS pour tous les utilisateurs.

Cependant, et plutôt déconcertant, Apple propose uniquement un programme de primes de bogues pour iOS. Apple n'encourage pas les développeurs ou les chercheurs à signaler les bogues ou les failles de sécurité rencontrés dans macOS. Les personnes qui découvrent des vulnérabilités macOS peuvent toujours les signaler à Apple. Bien entendu, Apple ne leur verse pas la récompense, contrairement aux personnes qui découvrent des vulnérabilités iOS.

Ce problème est apparu plus tôt cette année quand un chercheur de bogues pigiste allemand, Linus Henze, a découvert une vulnérabilité majeure dans le trousseau de MacOS: l’application qui stocke les mots de passe d’un utilisateur, comme ceux des sites bancaires et des réseaux sociaux. La faille découverte par Henze pourrait permettre à un logiciel malveillant de voler ces mots de passe.

C’est une vulnérabilité assez grave, non? Mais Henze a refusé de révéler les détails de la faille à Apple, en particulier parce que la société n’offrait pas de programme de prime aux bogues MacOS. Henze finit par céder et dit à Apple comment trouver l'exploit, mais Apple ne lui offre toujours aucune compensation, selon son tweet.

J'ai décidé de soumettre mon exploit de trousseau à @Pomme, même s’ils n’ont pas réagi, car c’est très important et que la sécurité des utilisateurs de macOS est importante pour moi. Je leur ai envoyé tous les détails, y compris un correctif. Gratuitement, bien sûr.

– Linus Henze (@LinusHenze) 28 février 2019

Une entreprise qui est fière de la vie privée – et à juste titre dans la plupart des cas – ne devrait pas en payer autant en proposant des primes de bugs uniquement pour son système d'exploitation et ses périphériques les plus lucratifs. Au lieu de cela, il devrait montrer aux développeurs qu’ils seront récompensés pour les vulnérabilités qu’ils trouveront dans n’importe quel logiciel fabriqué par Apple. Cela ne pourrait que renforcer la sécurité pour le reste d'entre nous.