Apple : Safari enverrait vos données de recherche au Chinois Tencent

Apple

Par Felix Gouty le

Safari, le navigateur d’Apple sur iOS, utilise un système anti-phishing fourni par le géant des télécoms chinois, Tencent.

Si vous êtes curieux de savoir comment Apple gère votre vie privée via son navigateur Safari, il vous faut sérieusement fouiner les paramètres de votre iPhone pour avoir des réponses. En allant dans l’onglet « Confidentialité » des réglages de votre smartphone, vous trouvez tout en bas un lien vers « Publicité ». Une fois dessus, cherchez « Publicité et Confidentialité », puis « En savoir plus », puis encore une fois « Confidentialité » et enfin « Safari » pour atteindre un texte particulièrement intéressant. Là, on peut y lire que Safari peut envoyer des informations à Google Safe Browsing et Tencent Safe Browsing pour vérifier si l’adresse URL du site web sur lequel vous souhaitez vous rendre n’est pas listée comme malveillante ou frauduleuse. Pour cela, ces deux systèmes de vérification peuvent avoir accès à votre adresse IP – et donc l’identité virtuelle de votre téléphone.

Des utilisateurs (au moins sous iOS 12.2) ont récemment fait cette découverte rapportée par Reclaim The Net. Si Apple utilisait déjà le système de Google notamment pour lutter contre le phishing, l’addition de la version de Tencent semble avoir été faite sans crier gare. Conglomérat de la télécommunication, Tencent collabore fréquemment avec le gouvernement chinois. Cette donnée ne rassure pas les spécialistes, comme Matthew Green, professeur en cryptographie à l’université Johns-Hopkins de Baltimore. Si Tencent Safe Browsing fonctionne de la même manière que son équivalent américain, alors les utilisateurs peuvent craindre à de possibles violations de leur vie privée.

En effet, selon le chercheur, il a été prouvé qu’un fournisseur de réseau mal-intentionné, pénétrant dans le système anti-phishing de Google, peut très bien recoupé les différentes adresses URLs parcourues par un utilisateur avec son adresse IP et ainsi profiler son identité. Craignant donc que Tencent profite plus de ce système pour surveiller que protéger ses concitoyens chinois voire bien d’autres utilisateurs, Matthew Green aurait préféré qu’Apple mette en garde ses clients avant tout. « Tencent n’est pas Google, déclare-t-il. Nous méritons d’être informé de tels changements […] avant qu’ils nous soient imposés par Apple, obligeant ses millions d’utilisateurs à lui faire confiance ».

Face à cette polémique, Apple a apporté des éléments de précision dans un communiqué officiel, envoyé notamment au site The Verge :

« Apple protège la vie privée de l’utilisateur et ses données grâce au système d’alerte de sites frauduleux de Safari, une option de sécurité qui repère les sites connus pour être malveillants. Quand cette dernière est activée, Safari vérifie si l’adresse URL d’un site recherché fait partie d’une base de données de sites frauduleuses et le signale directement à l’utilisateur si c’est le cas. Pour ce faire, Safari utilise une liste de sites malveillants connus compilée par Google et, pour les appareils dont la région d’utilisation est la Chine continentale, Tencent. La véritable URL que l’utilisateur visite n’est jamais vraiment partagée avec ses entités – simplement une copie – et l’option reste désactivable. »