Un rapport du Financial Times semble affirmer qu'Apple a laissé les développeurs d'applications digérer les données du service client des utilisateurs d'iPhone sans leur permission. Ce n'est pas une nouvelle histoire, mais cela montre que ceux d'entre nous qui ont refusé l'autorisation de suivi des applications peuvent toujours être suivis, grâce à une faille.
Quand la vie privée... n'est pas
La décision d'Apple d'introduire des contrôles de confidentialité pour le suivi des applications a provoqué de nombreuses controverses et un énorme revers pour Facebook. Ces derniers se sont même plaints que cela compliquerait la vie des petites entreprises. Apple a mis du temps, mais l'a quand même présenté.
Le fonctionnement de la fonctionnalité est qu'au moment où une application demande l'autorisation de suivre votre activité sur les applications et les sites d'autres entreprises, vous devez accorder l'autorisation. La plupart des gens disent non, ce qui signifie que les entités qui veulent vous poursuivre et ce que vous faites devraient avoir du mal à le faire.
La théorie est que cela prive les entreprises qui gagnent de l'argent en collectant, détenant et vendant vos informations du droit de suivre ce que vous faites en ligne. Mais il semble que certains développeurs aient trouvé ce qui pourrait être une faille dans le système, une faille que le rapport du Financial Times suggère qu'Apple laisse les développeurs exploiter.
Quelle échappatoire est utilisée ?
Le rapport allègue que Facebook et Snapchat exploitent une faille dans les directives d'Apple d'une manière qui, à mon avis, sape l'esprit, sinon les règles, autour du suivi.
Les directives d'Apple pour les développeurs spécifiques à la prise d'empreintes digitales et à d'autres technologies conçues pour identifier un appareil ou un utilisateur indiquent :
"En vertu du contrat de licence du programme Apple Developer, vous ne pouvez pas extraire de données d'un appareil dans le but de l'identifier de manière unique. Des exemples de données d'utilisateur ou d'appareil incluent, mais sans s'y limiter : les propriétés et les paramètres du navigateur Internet d'un utilisateur, l'appareil et les paramètres de l'utilisateur, l'emplacement de l'utilisateur ou la connexion réseau de l'utilisateur. Les applications qui se livrent à cette pratique ou font référence au SDK (y compris, mais sans s'y limiter, les réseaux promotionnels, les services d'attribution et d'analyse) peuvent être refusées sur l'App Store.
Le défaut est que des services comme Snap et Facebook ont modifié la façon dont ils agrègent les données pour créer des groupes d'utilisateurs anonymes, plutôt que d'identifier des individus.
La façon dont cela fonctionne, soi-disant, est qu'ils regroupent toujours vos informations, mais ne partagent pas de données « uniques et reconnaissables ». Au lieu de cela, ils résument ce qu'ils appellent des « signaux » provenant d'un iPhone au niveau du groupe, ce qui leur permet de cibler des groupes d'utilisateurs. Les données personnelles sont anonymisées et les identifiants uniques ne sont censés pas être résumés.
Sheryl Sandberg de Facebook a déclaré que la société travaillait également à reconstruire son infrastructure promotionnelle "en utilisant des données plus agrégées ou anonymes".
En pratique, cela signifie qu'une personne qui achète régulièrement en ligne chez Target peut être incluse (bien que de manière anonyme) dans une cohorte de ceux qui le font, mais ne doit pas avoir de « client du service ». Target » à côté de son nom dans le fichier.
Une règle pour les appeler tous
Même si ça ne se passe pas comme ça.
Ce rapport MIT Technology Review vous donne une perspective assez effrayante sur la façon dont même des données anonymes peuvent être exploitées pour créer des quantités substantielles d'informations sur .
Nous savons par expérience amère que les capitalistes de la surveillance chercheront à transformer n'importe quelle quantité d'informations en données exploitables qu'ils pourront ensuite vendre à d'autres. Ceux qui acquièrent ces données utilisent souvent l'IA et leurs piles de données existantes pour créer des piles d'informations sur . Ce qui signifie que l'acheteur cible recevra des publicités personnalisées, même s'il a demandé à ne pas être suivi.
Bien qu'absolument personne, techniquement, n'ait enfreint les règles.
Je pense que c'est une pause dans une guerre en cours. Apple affirme toujours et à tout moment qu'il pense que la meilleure façon de protéger les données des personnes n'est pas de les résumer en premier. Il a fait de la confidentialité un pilier de son offre de produits. Nous savons que la bataille pour la vie privée, comme la sécurité, est éternelle. Chaque fois qu'Apple l'améliorera, d'autres chercheront à le saper, comme cela semble se produire ici.
Ce qui manque, c'est la réglementation.
Écrasez votre système
Je pense que la faille utilisée ici viole l'esprit et les espoirs de la règle d'Apple selon laquelle ces données "ne peuvent pas être combinées avec d'autres données pour suivre un utilisateur sur des applications et des sites appartenant à d'autres sociétés, à moins que l'utilisateur ne lui donne la permission." ". "
Bien que les contrôles de suivi des applications d'Apple représentent une amélioration de la confidentialité des utilisateurs, je ne pense pas que la personne moyenne dans la rue comprendrait les différences nuancées ; ils ne comprenaient pas facilement pourquoi cette lacune semblait faire autorité.
Dans cet esprit, Apple devrait accentuer ses protections de la vie privée. Je pense que nous le verrons probablement agir pour avertir les futurs développeurs d'applications contre un tel contournement de ses règles, probablement à la WWDC.
L'interdiction d'Apple cite son accord de licence de programme de développement.
Cela suggère fortement qu'elle se réserve le droit de sanctionner les développeurs qui vont à l'encontre de l'esprit de ce pacte. Il devrait y avoir des conséquences pour les entreprises qui choisissent de saper la protection des utilisateurs finaux.
Apple devrait-il supprimer votre ami de… Facebook ?
Ce ne serait pas la première fois qu'Apple menace de virer Facebook. Il l'a fait pour la dernière fois après avoir découvert que des esclaves familiaux étaient vendus sur le service Instagram de Facebook.
Alors, Apple va-t-il lancer Facebook à partir de ses serveurs pour avoir soi-disant sapé l'esprit de son pacte avec les développeurs ?
Pas si l’on pense au Financial Times : le rapport suggère qu’Apple grimace devant cette pratique. Il ajoute également que même si Apple n'a pas répondu aux questions, la société a déclaré que la vie privée "reste sa star dans le Nord".
Mon sentiment? Il est peut-être temps pour Apple de faire un cas symbolique pour illustrer à quel point la vie privée est sérieuse. Cela signifie punir ceux qui violent l'esprit de leur contrat de développeur. Il est temps de tester la promesse de confidentialité des applications distribuées via l'App Store.
Suivez-moi sur Twitter ou rejoignez-moi au AppleHolic Bar & Grill et aux jeux de discussion Apple sur MeWe.
Copyright © deux mille vingt et un IDG Communications, Inc.