iCloud : l’historique de Safari était parfois conservé pendant plus d’un an

iCloud conservait jusqu’à récemment un historique de navigation de Safari sur plus d’un an, au lieu des 30 jours prévus. Même si ces informations n’étaient pas stockées en clair, elles posent la question de leur utilité et d’éventuelles pratiques dont l’utilisateur ne serait pas informé.

iCloud est le service de synchronisation d’Apple. Il agit comme réceptacle des données de l’utilisateur et permet leur réplication et leur diffusion à travers les appareils reliés au même compte. S’il crée une note ou stocke des photos, les iPhone, iPad et autres Mac les affichent également, à moins bien sûr que tout ou partie des options aient été désactivées. Parmi ces informations, on trouve l’historique de Safari.

Cet historique est normalement sauvegardé pendant 30 jours, avant que les éléments les plus anciens ne commencent à être supprimés, via un classique mécanisme de roulement. La synchronisation permet à tous les appareils d’avoir le même historique, donc de ne pas perdre les habitudes de navigation. On trouve le même genre de fonctionnalité dans tous les navigateurs aujourd’hui. Sauf que dans le cas de Safari, il était possible de remonter jusqu’à plus d’un an en arrière.

Les données existaient dans une liste séparée

C’est la société russe Elcomsoft – éditrice de solutions logicielles pour récupérer les données protégées dans les appareils iOS – qui a fait la découverte. Son PDG Vladimir Katalov a ainsi expliqué qu’il avait pu retrouver des éléments d’historique remontant à décembre 2015. Les liens effacés, soit par le roulement automatique, soit manuellement, étaient ainsi toujours présents, mais avec un statut spécial.

Ces informations ne sont cependant pas accessibles de manière « naturelle ». Vladimir Katalov s’est en effet servi du logiciel maison Phone Breaker pour les obtenir. Ce dernier a d’ailleurs été mis à jour pour tenir compte de la découverte. Le PDG a fait part de sa découverte à Forbes, le journaliste Thomas Fox-Brewster confirmant la découverte : il avait retrouvé de son côté près de 7 000 liens censément effacés, mais bien présents dans un historique détaché, nommé a priori « tombstone ».

Les historiques ont été purgés

Se pose évidemment la question du « pourquoi » sur une telle rétention d’informations. Selon Forbes, il pourrait s'agir d'une erreur. D’ailleurs, peu de temps après la parution de l’article de Forbes, les comptes iCloud qui avaient été inspectés ont commencé à voir leur historique purgé. Apple n’avait pas encore répondu aux questions du magazine et ne l’a toujours pas fait à l’heure actuelle.

En fait, le contenu de « tombstone » ne devrait en théorie pas dépasser quelques semaines. Il est utilisé par Apple pour synchroniser la liste des éléments à supprimer sur les appareils reliés par le même compte. Il pourrait donc s’agir d’un « bug », la société le corrigeant actuellement sur l'ensemble des comptes concernés.

Un véritable flou

Selon une source de Forbes, en effet, effacer l’historique manuellement ou automatiquement transforme aussi tôt les liens en « hash ». Vladimir Katalov n’est pas d’accord. Selon lui, les informations sont chiffrées via AES, mais les clés sont stockées avec les données. En outre, iOS 9.3 est censé avoir géré justement un problème de données accessibles en clair, mais Elcomsoft a pu utiliser son Phone Breaker sur iOS 10.2.1.

Apple n’ayant toujours pas réagi, il est impossible de savoir si les historiques renégats ont été réellement supprimés ou simplement déplacés dans une zone hors d’atteinte. On ne peut pas savoir non plus s’il s’agissait réellement d’un bug ou d’un fonctionnement voulu. Les révélations d’Edward Snowden ont jeté un flou sur les grands services en ligne, et même si beaucoup d'éditeurs – Apple en tête – se démènent sur le vaste terrain de la sécurité et de la vie privée, ce type de découverte alimente la méfiance de nombreux utilisateurs.