Vie privée et sécurité : Apple monte d’un cran

Apple prépare de nouvelles versions majeures de ses systèmes d'exploitations, tant pour ses Mac que pour les iPhone et iPad. Mais à la WWDC de juin, le message était clair : améliorer le respect de la vie privée reste l'une des grandes priorités. Il en est de même pour la sécurité.

Il faut bien l'avouer, la conférence d'ouverture de la WWDC 2021 d'Apple était assez molle. La précédente avait un niveau élevé avec de grandes annonces pour iOS 14, notamment pour la limitation du tracking publicitaire. Mais aussi à travers l'arrivée de Big Sur, des SoC M1 et la modernisation générale de l’interface.

Rien de tout ça cette année, Apple étant dans une phase où il faut peaufiner l'existant, aller plus loin maintenant que les grandes lignes sont tracées. Les représentants de l'entreprise se sont donc contentés d’assembler une longue liste de petites évolutions, certaines attendues. Avec tout de même quelques surprises.

Et les principales concernent les deux nouveaux « dadas » d'Apple : la sécurité et le respect de la vie privée. Tout d'abord avec une évolution de l’offre iCloud, qui va devenir iCloud+. Les intentions de la société sont claires : motiver toujours plus les clients à prendre un forfait. Pour y parvenir, la société ajoute à toutes les formules payantes des fonctions supplémentaires, permettant aux utilisateurs de se sentir plus en sécurité, simplement.

iCloud Private Relay, le VPN à la sauce Apple

Les prix ne changent pas. Si vous êtes par exemple abonné au forfait 50 Go à 0,99 euro par mois, les apports viendront s’y greffer automatiquement. Du bonus pour les clients existants, des raisons supplémentaires de payer pour ceux qui arrivaient à se contenter des 5 Go gratuits. iCloud+ ajoute trois fonctions : Hide My Email, une extension de HomeKit Secure Video et iCloud Private Relay (iPR). Attaquons tout de suite par cette dernière.

Lorsque Private Relay a été présenté, tout le langage d’Apple était tourné vers la protection de la vie privée : l'idée générale est de faire passer les connexions des utilisateurs par des serveurs tiers avant qu'elles n'arrivent à celui de destination. Et donc de limiter les informations pouvant être récupérées sur ce que vous faites en ligne. Tout du moins depuis Safari (et quelques autres cas), seul navigateur à pouvoir l’exploiter.

Mais alors, s'agit-il d’un VPN ? Pas tout à fait.

Pour rappel, un Virtual Private Network (VPN) permet de créer un réseau sécurisé privé à travers des points géographiques distants. Il permet par exemple à un employé d'accéder au réseau interne de l'entreprise après avoir été identifié, tout le trafic étant encapsulé dans un tunnel sécurisé. C'est la sa fonction première.

• Un VPN, à quoi ça sert ?
• Le réseau privé virtuel (VPN) par l'exemple

Son usage a depuis été largement détourné par des services grand public proposant de masquer votre adresse IP, la remplaçant par celle d'un serveur tiers, pouvant être situé dans un pays étranger. On retrouve l'intérêt de l'utilisation d'un tunnel sécurisé, pouvant être intéressant lorsque vous êtes sur une connexion Wi-Fi ouverte ou lorsque vous accédez à un site qui ne propose pas de connexion HTTPS par exemple. 

Les motivations de l'utilisation de ces services sont diverses : amélioration de la sécurité et de la vie privée pour certains, manière d'accéder à des contenus géobloqués ou piratés sans pouvoir être directement identifié pour d'autres (bien qu'un VPN ne protége pas lors d'une enquête poussée). Mais cette solution a ses limites.

Car un VPN sert de liaison entre l’internaute et le reste du monde, il repose donc sur une confiance totale dans le prestataire choisi. Le trafic est chiffré et transite via son infrastructure. S'il ne voit pas le contenu et certifie le plus souvent ne pas y accéder, cela reste possible comme des cas de piratage l'ont montré par le passé.

C’est là qu’Apple vient marquer sa différence. La société propose une architecture en deux étapes (double hops), avec une large couche de chiffrement permettant d'assurer que seul l'appareil de l'utilisateur peut accéder à l'ensemble des données. Ce n'est ainsi pas le cas d'Apple ou de ses partenaires.

Craig Federighi, interrogé par Fast Company, ne crache pas directement sur les VPN et préfère avancer par sous-entendus : « Les VPN sont une technologie qui cherche à fournir certaines de ces protections, mais ils impliquent de placer une grande confiance en une entité centrale : le fournisseur VPN. Et c’est beaucoup de responsabilité pour cet intermédiaire », estime le vice-président d’Apple. Il évoque la « grande décision » que doit alors prendre l’internaute, puisque tout se résume à la confiance que l’on va accorder à cette entité.

« Nous espérons que les utilisateurs voient en Apple un intermédiaire de confiance, mais nous ne voulions même pas qu’ils aient à nous faire confiance », explique-t-il, revenant sur les avantages de cette séparation des pouvoirs. Mais n’en déplaise au responsable, il s’agit toujours d’une question de confiance : l’internaute n’ira pas vérifier si le mécanisme fonctionne exactement comme il a été présenté.

iCloud Private Relay : comment ça marche ?

Cette architecture a été détaillée dans une session dédiée, ainsi qu'une autre qui parle des évolutions à venir dans le domaine de la sécurité de manière générale. On y apprend la manière dont Private Relay fonctionne : lors de la navigation, une liste de clés cryptographiques et de jetons (non identifiables) sont générés, deux serveurs sont sélectionnés parmi ceux pouvant être utilisés par Private Relay.

Les URL d'accès du site à visiter et des deux serveurs sont encapsulées et chiffrées avec des clés différentes, de manière à ce qu'aucun des intermédiaires ne puisse avoir l'ensemble des informations. C'est seulement le cas de l'appareil de l'utilisateur. Une façon de faire qui s'insipre en partie du réseau Tor (qui utilise plus de relais). 

Le trafic est alors envoyé au premier serveur (Ingress) contrôlé par Apple. Il sait qui vous êtes et d'où vous venez, mais pas votre destination finale. Il est principalement chargé de chiffrer le trafic (Apple utilise QUIC et HTTP/3) et masquer l'IP de l'appareil. Celle-ci n'est pas choisie de manière totalement aléatoire, elle peut être remplacée par une IP de votre zone géographique ou du même pays (au choix de l'utilisateur). Cela peut permettre aux sites de savoir où vous êtes, sans pour autant livrer une information précise.

Une fois l'IP modifiée, on passe au second serveur (Egress) qui est cette fois géré par des partenaires d'Apple (la liste n'est pas précisée). Lui sait où vous allez, mais pas qui vous êtes, l'adresse IP utilisée étant renouvelée à chaque fois. Cela ne permettra ainsi pas un suivi publicitaire précis en cherchant à utiliser ces informations.

Si l’idée est d’apporter un bénéfice équivalent à un VPN sans en avoir les inconvénients, iCloud Private Relay n’en fournit pas non plus tous les avantages. D’une part, il ne semble pas proposé de changer de pays par son biais. N'espérez donc pas l'utiliser pour contourner des blocages géographiques. D’autre part, et au contraire d’un VPN, Private Relay ne fonctionnera qu’avec Safari, un vrai problème pour les aficionados des autres navigateurs.

Un point dont on espère qu'il évoluera rapidement, notamment pour permettre aussi la protection du trafic au sein des applications par exemple. Apple invite d'ailleurs les développeurs à vérifier que Private Relay ne pose pas de problème avec leurs applications pour le moment, détaillant les outils permettant des analyses poussées.

Car la fonction sera active par défaut sur tout appareil où un compte iCloud+ est configuré. Apple ne cache plus sa volonté de bousculer le marché du pistage en ligne, iPR étant présenté comme une solution pour empêcher l'utilisation de l'IP à cette fin, en plus des mécaniques déjà mises en œuvre au sein de ses OS ou de Safari.

Mail Privacy Protection déclare la guerre aux pixels invisibles

Secteur jusqu'à maintenant préservé, l'email va avoir droit au même traitement. Mail Privacy Protection (MPP) est un service pour Mail dans iOS/iPadOS 15 et macOS Monterey, faisant également partie du nouveau bouquet iCloud+ et rattachée à iPR. La fonction est dédiée à la lutte contre les pixels invisibles, très souvent utilisés dans les emails pour obtenir des informations sur l’utilisateur de manière détournée.

Pour rappel, un pixel invisible est exactement ce que son nom indique : une pixel transparent placé dans un email, afin de livrer des informations à l'expéditeur lorsque le message est ouvert et les images chargées. On peut ainsi savoir que le mail a été lu, mais aussi connaître le logiciel utilisé, l'IP de l'utilisateur et donc sa localisation, etc.

Avec Mail Privacy Protection, Apple utilise une solution déjà vue ailleurs : les images (et donc les pixels transparents) sont chargées depuis ses serveurs. Elle prévient ainsi les acteurs de l'emailing : les taux d'ouverture ne seront plus le reflet de la réalité. De plus, l’adresse IP initiale est masquée, les informations liées ne pourront être récupérées.

De la même manière qu’iPR ne fonctionnera qu’avec Safari, Mail Privacy Protection n’est fait que pour Mail. Pas question de l’utiliser avec un autre client, comme Outlook. Il n’y a même pas d’API prévue pour le moment. Si vous souhaitez utiliser ces services Apple, il faudra passer par des applications Apple. La situation est cependant moins pénible qu’avec iPR, puisque Mail est par définition un client email où l'on peut se connecter à tout type de compte, et donc les protéger via MPP.

Hide my emails reprend le concept de Sign-in with Apple

De son côté, Hide my emails se propose de créer autant d’adresses uniques et aléatoires que nécessaire quand on souhaite s’inscrire à un service, sans pour autant vouloir qu’il ait accès à la vraie adresse. Une pratique déjà courante chez ceux qui disposent d'une adresse permettant des alias illimités (comme Gmail avec le « + »). Le principe est cependant ici automatisé, intégré à l'OS et va bien plus loin puisque l'adresse complète est remplacée. 

Sur le même modèle que Sign-in with Apple, la fonction va créer une adresse aléatoire que l’on pourra par exemple coller dans un formulaire d’inscription. Elle sera liée au compte principal et permettra de recevoir des emails si la chose vous intéresse. Dans le cas contraire, il suffira d’indiquer dans Mail que l’on ne souhaite pas les recevoir.

La liste des adresses est visible dans les paramètres, accessible également dans la fenêtre d'envoi de message de Mail ou les formulaires de Safari. Là encore, elle est réservée aux outils maison. Dans l’absolu, on pourra toujours invoquer de nouvelles adresses pour s’en servir dans d'autres outils, mais le processus risque d’être peu pratique.

stockage vidéo des caméras de sécurité : Apple relâche la pression

Si vous disposez de caméras compatibles HomeKit pour veiller sur vos biens, vous avez sans doute déjà un forfait iCloud d’au moins 200 Go. Parmi les annonces de la WWDC, on a appris que HomeKit Secure Video a reçu une agréable extension, qui constitue le troisième bonus offert par iCloud+.

Le stockage du flux vidéo ne prendra ainsi plus d’espace. Le découpage se fait en fonction du nombre de caméras connectées. Le forfait 50 Go à 0,99 euro gère ainsi une seule caméra, le forfait 200 Go à 2,99 euros en gère cinq, et le forfait 2 To à 9,99 euros en gère un nombre illimité. Apple insiste bien sûr sur les transferts chiffrés de bout-en-bout pour ces vidéos, mais c'était déjà le cas jusqu'à présent.

Se passer des mots de passe via iCloud Keychain

Apple rejoint les autres géants du numérique dans la chasse aux mots de passe, une solution de protection des accès vue comme trop complexe et surtout peu sécurisée.

Elle peut être complétée par l'utilisation de codes à usage unique, mais là aussi, tout n'est pas parfait. Ils se reposent en général sur un envoi par SMS qui est tout sauf sécurisé. Il faut opter sinon pour des applications tierces ou des clés de sécurité qui apportent leur lot de contraintes (configuration, complexité à la mise en œuvre, besoin d'avoir la clé sur soi en permanence, procédure de récupération, etc.). iCloud Keychain entre alors en piste.

Deux solutions sont évoquées pour le moment. La première consiste à se reposer sur la procédure de création de codes à usages unique, mais avec un processus entièrement géré par le système. Ainsi, l'utilisateur n'a pas de code QR à scanner et d'application tierce à télécharger. Un clic suffit pour associer le service au compte iCloud. Keychain pourra alors remplir automatiquement le mot de passe, générer localement le code à usage unique et le remplir. Le tout est chiffré de bout-en-bout et protégé par la biométrie ou le mot de passe principal du système. 

Autre possibilité, mais uniquement en accès anticipé cette fois : les Passkeys. On utilise non plus des codes à usage unique, mais le standard WebAuthn pour une connexion sans mot de passe. La clé privée utilisée pour gérer les identifiants de connexion est là aussi chiffrée de bout-en-bout, stockée dans le compte iCloud. Ainsi, il n'y a plus à craindre de la perdre en cas de changement d'appareil ou de panne. 

C'est une manière de profiter des avantages du compte Apple et des appareils de l'entreprise, sans avoir à se reposer sur une mécanique spécifique comme Sign In with Apple. Ainsi, les développeurs n'ont rien à faire d'autre que de s'assurer que leur site gère le standard WebAuthn. Pour l'utilisateur, c'est un peu comme si sa clé de sécurité était dématérialisée et placée dans les serveurs d'Apple, utilisable seulement depuis son appareil. 

Ainsi, pour se connecter ou créer un compte, il faudra déverrouiller la PassKey avec la biométrie ou le mot de passe principal du système mais aucune autre étape ne sera nécessaire. Une procédure qui doit encore être testée et sur laquelle Apple attend des retours avant de la généraliser au sein de ses systèmes.

À gauche, les codes à usage unique dans iCloud Keychain, à droite le principe des Passkeys

D’autres petites améliorations un peu partout

D’autres nouveautés seront présentes, de manière plus ou moins discrètes. iOS/iPadOS 15 et watchOS 8 peuvent par exemple générer des rapports de confidentialité sur les applications utilisées.

L’apport est particulièrement intéressant puisqu’il permettra de vérifier à quelle fréquence une application accède aux informations pour lesquelles elle a reçu des permissions (contacts, position géographique, photos…) et, plus important, les domaines tiers contactés pour communiquer. Ces rapports pourront être exportés pour analyse, ce qui pourra tant être le cas des développeurs que des défenseurs de la vie privée ou d'autorités comme la CNIL.

Dans le cas où une personne n’apprécierait pas les informations vues dans ces rapports, elle pourra se rendre depuis ces derniers dans les fiches de permissions des applications pour en réduire le périmètre. Voire la supprimer si le comportement est jugé douteux. Cela étant, le nombre de domaines contactés n’est pas en soi un indicateur de situation louche. Encore faut-il savoir à qui ils appartiennent et à quoi ils servent.

L’intelligent Tracking Protection est une nouvelle fois renforcée dans Safari pour iOS/iPadOS 15 et macOS Monterey. Cette fois, le navigateur va bloquer automatiquement toute communication d’adresse IP aux pisteurs connus.

Une évolution logique compte-tenu des annonces faites autour d’iCloud+. Il était d’ailleurs étrange que Safari se batte depuis des années contre le fingerprinting – permettant de créer une empreinte identifiant l'utilisateur sur la base des données techniques de sa machine – sans prendre l’IP sous son aile. Dans la foulée, son dispositif permettant de gérer les attributions publicitaires tout en préservant la vie privée est renforcé.

Le partage de position géographique a été revu pour qu'il ne soit pas demandé de choisir le niveau de précision dès qu'on lance une application. Désormais, un bouton spécifique (et personnalisable) est proposé, permettant en une fenêtre de choisir si oui ou non on veut partager cette information et gérer le niveau de précision.

Une notification sera également affichée lorsque des informations seront copiées par l'application sans action de l'utilisateur, pour éviter des dérives vues récemment. Elle ne s'affichera pas lorsque la copie d'un élément est initiée par l'utilisateur depuis les menus ou les boutons du clavier virtuel. Seulement lorsque l'application l'a initiée sans action spécifique ou via un mouvement à trois doigts. 

Siri va également devenir un peu plus « privé ». Apple s'engage à ce qu'aucun contenu audio ne soit enregistré par défaut, avec un maximum de traitement local. Ainsi, avant qu’une requête soit émise vers les serveurs d’Apple, l’assistant commencera par la traiter localement. Si elle concerne une fonction basique du téléphone comme l’ouverture d’une application, le lancement d’un minuteur où un contrôle sur une musique, la requête ne sera pas envoyée. Oui, ces commandes pourront être utilisées sans connexion Internet et s'effectuer plus rapidement.

Développeurs, soyez responsables

De manière plus générale, Apple incite les développeurs de son écosystème à suivre la même voie : celle de la minimisation des données collectées, du traitement local et de la transparence avec l'utilisateur. C'est ainsi que la confiance nécessaire pourra être créée. Elle leur rappelle au passage qu'ils sont responsables des actions entreprises par les SDK intégrés à leurs applications, il faut donc vérifier ce qu'ils font.

C'est aussi dans cette volonté de transparence que la société ajoute de nouveaux indicateurs lorsque le micro enregistre sur macOS, en plus de son rapport d'activité ou relatif à la vie privée. 

Des nouveautés disponibles cet automne

Ces nouveautés seront disponibles à l’automne, les premières bêtas étant disponibles depuis quelques semaines. Apple a confirmé que tous les comptes iCloud payants transiteront automatiquement vers iCloud+.

Dans la foulée, les fonctions de protection de la vie privée s’activeront elles aussi, même si on imagine qu’un message sera envoyé pour prévenir du changement. Les nouvelles versions des plateformes seront elles aussi disponibles cet automne, et il faudra attendre septembre pour qu’Apple fournisse la date de présentation du nouvel iPhone (et d'un iPad Mini ?), qui sert généralement de tremplin aux nouveaux systèmes.

On remarquera avec ces annonces que la vie privée devient graduellement pour Apple plus qu’un argument commercial. La société s’empare d’un sujet débattu passionnément par les tenants d’une vie privée absolue et ceux d’un web fourmillant de services gratuits, mais nécessitant des données personnelles pour que la publicité puisse fonctionner. Or, Apple jouit d’une situation unique : les annonces sont autant d’armes pour casser le modèle commercial de certains concurrents – Google et Facebook en tête – sans prendre le moindre risque, puisque son propre modèle n’a que faire des données personnelles.

Apple bâtit donc petit à petit une image de société de confiance qui se contente des achats de ses produits, et éventuellement de quelques services raisonnablement bon marché. Et pendant que les fonctions sont applaudies par celles et ceux cherchant à préserver leur vie privée, le marché se transforme.

Notre dossier sur les nouveautés logicielles d'Apple de la rentrée 2021 :

• Vie privée : Apple monte d’un cran
• iOS et iPadOS 15 : une longue liste de petites nouveautés, les tablettes mieux servies
• macOS 12 (Monterey), tvOS 15, watchOS : une année à régime minimal
• Chez Apple, un programme bien plus chargé pour les développeurs que pour les utilisateurs