Apple vient de compliquer la vie des réseaux publicitaires mobiles et autres tiers qui vous suivent sur le web, vous envoient des messages ou vendent vos données. Avec le dernier changement de règles pour les développeurs, Apple s'attaque au "fingerprinting" ou emoreinte digitale, une technique sournoise que certaines applications peuvent utiliser pour vous espionner secrètement, vous et votre appareil.

Apple a annoncé que les développeurs devront expliquer pourquoi leurs applications doivent utiliser certaines API (Application Programming Interfaces), qui permettent aux applications de communiquer entre elles et d'échanger des informations. Grâce à ces API, les développeurs peuvent collecter des données apparemment inoffensives sur votre appareil, telles que la date de création et de dernière modification d'un fichier, l'espace disque restant, la date à laquelle vous avez allumé votre téléphone la dernière fois, le clavier que vous utilisez ou les paramètres que vous préférez.

À première vue, ce type d'informations peut sembler totalement inutile : pourquoi quelqu'un voudrait-il savoir quel clavier vous utilisez, et pourquoi Apple se soucie-t-elle de savoir qui le sait ? Cependant, même si ces informations ne semblent pas très personnelles ou privées, leur combinaison peut aider les entreprises à créer un profil unique ou une "empreinte digitale" de votre appareil. Cette "empreinte" peut ensuite être utilisée pour vous suivre sur le web et vous proposer des publicités ciblées.

Au sens large, l'"empreinte digitale" d'un appareil est une combinaison de ses caractéristiques matérielles et logicielles. Plus ces caractéristiques sont uniques et connues, plus il est facile de vous suivre à la trace. Bien entendu, contrairement à votre nom ou à votre date de naissance et à votre empreinte digitale physique, l'empreinte digitale de votre appareil n'est pas gravée dans le marbre. Son caractère soi-disant "unique" peut fluctuer dans le temps, ce qui signifie qu'il ne s'agit pas d'un moyen infaillible de vous suivre ou de vous identifier. Néanmoins, Apple ayant déjà pris des mesures contre d'autres moyens de traçage par des tiers, il s'agissait d'une faille que les entreprises pouvaient utiliser pour continuer à espionner.

Quelles sont les "raisons approuvées" d'utiliser les API d'Apple ?

L'obligation pour les développeurs de justifier l'accès aux informations relatives aux appareils s'appliquera non seulement à leur propre code, mais aussi aux kits de développement logiciel (SDK) de tiers qu'ils intègrent dans leurs applications. Les SDK sont des outils ou des bibliothèques de tiers qui aident les développeurs à ajouter des fonctionnalités à leurs applications. Cependant, certains SDK - comme le très populaire Facebook Ads SDK et d'autres SDK publicitaires - recueillent également de nombreuses données sur les utilisateurs de l'application et leurs appareils. Ces SDK sont souvent choisis par les développeurs qui cherchent à monétiser leurs applications au moyen de publicités : les développeurs peuvent afficher dans leurs applications des publicités personnalisées provenant d'un fournisseur de SDK et se faire payer une partie des recettes publicitaires.

Selon les nouvelles règles d'Apple, les applications et les SDK tiers devront rédiger une ou plusieurs "raisons approuvées " expliquant pourquoi ils ont besoin d'accéder aux informations de l'appareil par le biais d'API spécifiques dans des documents distincts appelés "fichiers de manifeste de confidentialité " Ces raisons doivent être "cohérentes avec la fonctionnalité de l'application " Par exemple, une application de lampe de poche n'a pas besoin d'accéder à l'API de l'espace disque pour fonctionner, car elle n'a besoin que d'accéder au flash de l'appareil photo ou à la luminosité de l'écran. Par conséquent, si une application de lampe de poche souhaite accéder à la mémoire de l'appareil, elle peut avoir un objectif caché ou malveillant (comme l'affichage de publicités pour des applications de nettoyage de disque, la collecte de données pour la prise d'empreintes digitales ou même l'installation de logiciels malveillants). Dans ce cas, la raison pour laquelle l'application de lampe de poche utilise l'API d'espace disque ne sera pas cohérente avec la fonctionnalité de l'application, et l'application pourra être considérée comme ayant violé la politique d'Apple et être supprimée.

Apple a également indiqué que les développeurs d'applications devront inscrire tous les domaines Internet auxquels ils se connectent à des fins de suivi dans le fichier manifeste de confidentialité. Toutefois, cela ne fonctionne que si l'utilisateur autorise l'application à le suivre. Si l'utilisateur n'autorise pas le suivi, l'application ne pourra pas se connecter à ces domaines.

Source: les Règles des développeurs Apple

Avant tout, cette nouvelle politique semble viser à empêcher les applications qui incitent les utilisateurs à accorder des autorisations inutiles d'utiliser ces données pour diffuser des publicités ou prendre leurs empreintes digitales.

Bien entendu, il est peu probable qu'un utilisateur averti accorde des autorisations douteuses à ses applications, car toute demande de ce type déclencherait un énorme signal d'alarme. Mais il arrive que nous soyons pressés ou que nous ne fassions pas attention. En outre, la plupart des propriétaires de téléphone ne sont même pas conscients des dangers que représente le fait d'autoriser une application aléatoire à accéder aux données de leur téléphone.

Permission de suivre ≠ permission au fingerprinting

Apple a clairement indiqué que même si une application obtient l'autorisation d'un utilisateur de le suivre ce qui est déjà rare, car plus de 90 % des utilisateurs américains d'iPhone refusent cette autorisation aux applications après qu'Apple a fait du suivi par des tiers une fonction facultative en 2021, cela ne signifie pas qu'elle peut prendre ses empreintes digitales.

Indépendamment du fait qu'un utilisateur autorise ou non votre application à effectuer un suivi, la prise d'empreintes digitales n'est pas autorisée.

Les développeurs devront se conformer aux nouvelles exigences en printemps 2024 au plus tard. Dès cet automne, ils pourraient recevoir un avis d'Apple leur demandant de justifier l'utilisation de certaines API. S'ils ne les fournissent pas d'ici au printemps 2024, leurs applications ne seront plus acceptées dans l'App Store.

Bien qu'Apple ait pris ses responsabilités en matière de prise d'empreintes digitales, la politique elle-même n'est pas nouvelle. Ce qui est nouveau, c'est la manière dont Apple applique l'interdiction. Dès la Worldwide Developers Conference (WWDC) de 2022, Apple a déclaré : "La prise d'empreintes digitales n'est jamais autorisée. Qu'un utilisateur autorise ou non votre application à le suivre, l'empreinte digitale - ou l'utilisation des signaux de l'appareil pour tenter d'identifier l'appareil ou l'utilisateur - n'est pas autorisée par l'accord de licence du programme des développeurs d'Apple. "

En fait, on pourrait voir Apple s'attaquer à l'empreinte digitale des appareils bien avant cela. En 2017, Uber a failli être expulsé de l'App Store après que son application a été prise en flagrant délit d'extraction des numéros de série de l'iPhone à partir du système d'exploitation de l'appareil.

Comment Apple prend les devants en termes de protection de la vie privée

La nouvelle mesure contre les empreintes digitales fait partie d'une série d'autres mesures prises par Apple au fil des ans pour renforcer la protection de la vie privée et la sécurité de ses utilisateurs. Cupertino s'est toujours présenté comme le champion de la vie privée, faisant de sa protection une partie inhérente de son discours marketing. Bien que le fabricant de l'iPhone ait été critiqué pour avoir autorisé ses propres applications natives à suivre les utilisateurs sans leur permission explicite, il est indéniable qu'Apple est à la pointe de la protection de la vie privée, du moins dans le monde de la Big Tech.

Voici quelques-unes des principales fonctions de protection de la vie privée qui permettent aux utilisateurs d'Apple de mieux contrôler leurs données et de réduire leur empreinte en ligne :

• La fonctionnalité App Tracking Transparency (ATT), introduite dans iOS 14.5 en avril 2021, est peut-être la plus importante en termes d'impact sur le suivi par des tiers. Elle vous permet de choisir si vous souhaitez autoriser les applications à vous suivre ou non. Lorsque vous ouvrez une application qui souhaite vous suivre, un message contextuel s'affiche pour vous demander votre autorisation. Vous pouvez appuyer sur "autoriser " ou "demander à l'application de ne pas vous suivre ". La plupart des utilisateurs d'Apple ont choisi la deuxième option, ce qui signifie qu'ils ont empêché les applications de suivre leur IDFA (Identifier for Advertisers), un code unique pour chaque appareil. Cela a porté un coup aux revenus publicitaires des géants de la technologie publicitaire comme Meta, qui a estimé ses pertes à plusieurs milliards de dollars.

• Les App Privacy Labels, lancés par Apple fin 2020, vous permettent de voir quelles informations une application collecte et dans quel but, directement dans l'App Store ou sur le site web d'Apple. Les étiquettes de confidentialité sont divisées en trois catégories : les données non liées à vous, les données liées à vous et les données utilisées pour vous suivre. La dernière catégorie est la plus révélatrice, car elle indique les données qu'une application peut utiliser pour vous suivre dans d'autres applications ou sur d'autres sites web, notamment à des fins de publicité ciblée. Notez toutefois que lorsque vous cliquez sur "Voir les détails" dans la section "Confidentialité de l'application" de la description d'une application dans l'App Store, vous verrez apparaître l'avertissement suivant : *Cela signifie que, dans l'ensemble, Apple compte sur les développeurs pour fournir les étiquettes de confidentialité correctes pour leurs applications, et de nombreux rapports ont depuis révélé que beaucoup d'entre elles étaient incomplètes ou trompeuses. En réponse aux critiques, Apple affirme qu'elle vérifie régulièrement les applications et oblige les développeurs à corriger les inexactitudes.

• Disponible depuis 2021 App Privacy Report est une fonctionnalité qui vous indique à quelle fréquence les applications utilisent les autorisations que vous leur avez données pour accéder à votre position, à votre appareil photo, à votre microphone, à vos contacts et à d'autres données. Vous pouvez également voir quels sont les domaines Internet que les applications contactent le plus souvent et vérifier si ces domaines peuvent être utilisés à des fins de suivi ou de publicité. Armé de ces informations, vous pouvez révoquer les autorisations que vous avez accordées à vos applications ou cesser de les utiliser si vous pensez qu'elles vous espionnent. La fonction App Privacy Report peut être activée dans les paramètres de confidentialité de l'appareil.

• Mail Privacy Protection est une fonction qui cache votre adresse IP aux expéditeurs de courrier électronique, les empêchant ainsi de connaître votre emplacement exact. Cette fonction permet également aux utilisateurs d'éviter que les expéditeurs sachent s'ils ont ouvert un courriel et ce qu'ils en ont fait. Les spécialistes du marketing obtiennent généralement ces informations à l'aide de pixels de suivi, de minuscules images transparentes intégrées dans les courriels. La fonction, introduite pour la première fois dans iOS 15, est une option qui doit être activée dans les paramètres de l'application Mail.

• Intelligent Tracking Prevention (ITP) est une fonctionnalité du navigateur Safari d'Apple qui empêche les cookies et les traqueurs tiers de collecter des données sur votre comportement en ligne. À partir d'iOS 15, elle a également commencé à cacher votre adresse IP aux traqueurs, ce qui signifie qu'ils ne peuvent pas lier votre activité à votre emplacement ou à votre appareil et établir votre profil publicitaire. La fonction est activée par défaut dans Safari.

• La fonction Hide my Email est un service qui permet aux utilisateurs de ne pas divulguer leur véritable adresse électronique lorsqu'ils créent des comptes avec des applications ou des sites web. Vous pouvez utiliser cette fonction gratuitement lorsque vous vous connectez avec Apple sur des sites web tiers, à condition qu'ils vous permettent d'utiliser votre compte Apple pour vous inscrire.

• La Politique de confidentialité pour toutes les apps iOS. En 2018, Apple a rendu obligatoire pour toutes les apps iOS de lier leur politique de confidentialité dans l'App Store. Auparavant, cette obligation ne s'appliquait qu'aux apps sur abonnement, ce qui peut sembler douteux au regard des normes actuelles. Là encore, il semble y avoir un problème d'application de cette politique. Une étude réalisée en 2022 par Pixalate a révélé que 13 % des applications étudiées dans l'App Store n'avaient pas de politique de confidentialité. Toutefois, on ne sait pas exactement combien de ces applications étaient des applications "abandonnées", c'est-à-dire qu'elles n'ont peut-être pas été mises à jour depuis des années et qu'elles ont été téléchargées sur l'App Store avant 2018.

Bien sûr, il existe d'autres fonctionnalités Apple qui contribuent à renforcer votre confidentialité - certaines ne sont disponibles que pour les utilisateurs payants, comme Private Relay par Apple, qui permet de dissimuler votre historique de navigation à la fois à Apple et à des tiers. Nous n'avons mentionné ici que quelques-unes des fonctions clés d'Apple qui sont soit activées par défaut, soit accessibles à tous via les réglages.

Mais elles sont une preuve suffisante qu'Apple, malgré tous ses défauts et la controverse sur ses propres pratiques de suivi, va dans la bonne direction en termes de protection des utilisateurs contre le suivi par des tiers.

Il est à espérer que cette décision inspirera un changement dans l'ensemble de l'industrie en ce qui concerne les empreintes digitales et incitera le principal rival d'Apple, Google, à envisager des mesures similaires.