Il n’aura pas fallu longtemps pour que les révélations autour de Research chez Facebook fassent réagir Apple. La fameuse application permettant d’espionner l’usage d’un appareil mobile contre rémunération ne peut tout simplement plus fonctionner.
L’application de Facebook violait les règles de l’App Store en se servant d’un certificat installé sur le téléphone pour espionner tout ce qui s’y passait. Ce type d’installation n’est autorisé qu’en entreprise pour la gestion de flotte, et en aucun cas pour surveiller les données qui transitent.
Comme confirmé à Recode, Apple a donc révoqué le certificat d’entreprise, entraînant l’arrêt de la fameuse application… et de toutes celles utilisées en interne sur iOS par Facebook. Selon Busines Insider, les employés de Facebook seraient particulièrement en colère contre Apple, l’action radicale empêchant des personnes de communiquer entre elles.
Le réseau social serait en pleines négociations pour rétablir la situation. Un blocage conséquent qui explique sans doute pourquoi, en dépit du nouveau scandale provoqué par l'affaire, l'application est toujours disponible sur Android.
La réaction acerbe d’Apple n’est en tout cas pas étonnante. Deux des points forts de sa communication sont la sécurité et le respect de la vie privée. L’entreprise n’hésite jamais à s’attaquer aux produits violant ses conditions d’utilisation, qu’il s’agisse de petits ou gros éditeurs.
D’autant que, comme nous allons le voir, Google a également été pris la main dans le sac.
Commentaires (59)
#1
Et bim !
De toute facon, Apple a clairement intérêt à tacler fortement ce genre de pratiques car il est quasi seul géant sur le créneau du respect de la vie privée et de la sécurité…
Tous les autres génèrent la majorité de leur CA avec la pub donc leur discours sécurité est forcément très creux. Apple a un bon coup à jouer mais il faut qu’il se reprennent en main sur la qualité de ses softs et qu’ils arrêtent les conneries comme le bug FaceTime de ces derniers jours…
#2
C’est tout de même étrange qu’un tel certificat puisse être “installé” comme ça, sur un téléphone… Sans aucune autorisation du côté d’Apple, ou sans qu’ils en soient tenus au courant. Ça s’appelle pas un “certificat” pour rien.
Dans tous les cas, Apple est pas totalement innocent. Soit leur politique de délivrance des certifs est foireuse, soit ils sont complices. Facebook… c’est Facebook, fidèles à eux-même.
EDIT : Facebook a profité du Developer Program. Ce qui ne change rien au fait qu’un développeur qui participe à ce programme peut s’auto-certifier. N’importe quoi… J’suis étonné qu’Apple n’en prenne pas pour son grade.
#3
Haha, bien joué
" />
#4
Pluzun !
" />
Apple est soit nul soit complaisant…
Comment ce certificat censé être utilisé uniquement en interne peut-il être employé/validé pour le store public
#5
L’appli n’était justement pas sur le store public. Elle était distribuée par des programmes tiers, qui paient des personnes pour tester des applis. D’où les 20$ en chèque cadeau pour installer l’appli de FB Research.
#6
Non rien en fait…
#7
Au temps pour moi !
Merci pour la correction ;)
(j’aurai du relire la news précédente avant de dire des bêtises)
#8
suffit de pousser l’utilisateur à accepter l’install d’un certificat.
" />
en échange de $20, c’est encore plus facile, et il me semble que c’est bien ce qui a été fait.
le truc demandait aussi aux gens de faire des screens de leurs achats sur Amazon, et les gens le faisaient.
#9
Dans ce cas, on ne peut pas reprocher à Apple sa réaction car Facebook a abusé d’un certificat.
Cependant, on ne peut que s’inquiéter de cette toute puissance dans les mains d’une entreprise concernant les téléphones de millions d’utilisateurs.
#10
Ce qui met les employés Facebook en colère, c’est pas uniquement le fait que leurs applis internes ne marchent plus sur iOS… Ils sont de toute façon très largement encouragés à utiliser Android depuis quelques temps déjà.
Ce qui les met en colère je pense, c’est surtout que ce genre de pratique (les apps espions) est indéfendable, y compris en interne.
Mais bon tout ça n’empêchera malheureusement pas Facebook de recruter plus d’utilisateurs, comme le montrent les résultats Q4…
#11
“l’action radicale empêchant des personnes de communiquer entre elles.”
" />
" />
Ils n’ont qu’à utiliser Facebook
À moins qu’ils soient au courant d’une bonne raison de ne pas le faire
#12
#13
ça sert à quoi de screen son achat Amazon??
#14
#15
Comment te dire…
S’ils laissent faire des entreprises comme Facebook (ou n’importe qui d’autre) dans l’accession aux données privées, alors même qu’ils font de la protection de leurs utilisateurs un argument marketing, ils sont non seulement complaisants, donc complices, mais aussi hypocrites. Rien de nouveau, de mon point de vue. Je crois pas plus aux conneries d’Apple qu’aux conneries de Google.
S’ils surveillaient ces entreprises, bien évidemment qu’ils mettraient des barrières à leurs libertés… Tu peux pas protéger quelqu’un (les utilisateurs) sans limiter les libertés d’un autre (les développeurs d’apps). Il semble évident dans cette “affaire” qu’Apple a un parti pris… et qu’il penche vers Facebook plutôt que sa clientèle. Dire le contraire, ça serait reconnaître qu’Apple ne maîtrise pas sa plateforme iOS. D’autant plus que Facebook, c’est pas n’importe quel développeur d’applications. C’est pas le petit Indien dans sa campagne.
Donc s’ils surveillaient leurs partenaires, s’ils ne délivraient pas des certificats de ce type à la volé, sans analyse au préalable des usages qui en seront fait – en somme, s’ils maîtrisaient leur plateforme – ce serait bien. C’est apparemment pas le cas donc j’vais pas leur lancer des fleurs.
P.S. : C’est marrant comme t’as usé d’un sophisme pour confondre la surveillance des utilisateurs et la surveillance des développeurs d’applications.
P.P.S. : Le jour où Apple protègera réellement les données utilisateurs, qu’ils arrêteront l’obsolescence programmée, qu’ils arrêteront de sur-vendre leurs pavés, qu’ils arrêteront de prendre pour partenaires industriels des esclavagistes, qu’ils arrêterons avec leur com’ marketing à deux francs six sous… Là, ça sera bon. De mon point de vue. Libre à chacun d’évaluer cette société et ses produits selon ses propres critères de besoins et de moralité.
#16
C’est des applis qui demandaient ça? Contre rémunération?
#17
Quel est meilleure société pour les téléphones ?
#18
comme ça facebook sait ce que tu achètes. ^^
#19
L’appli facebook dont on parle dans l’article demandais des screens régulier de tes achats Amazon oui. (en plus d’un accès quasi total à ton téléphone et ce que tu y faisais.
#20
#21
ben l’appli dont on parle, oui.
#22
Aucune.
#23
Dur.
#24
#25
Ah d’accord, je pensais que c’était une autre appli. 
" />
#26
Arrêtez un peu de parler d’ “application espion”, ce n’est pas de ça qu’il s’agit, puisque l’application en question a été installée SCIEMMENT et VOLONTAIREMENT par les gens.
#27
#28
Installer un certificat sur iOS n’est pas compliqué, mais en effet nécessite une petite action utilisateur (comme un certificat pour un adblock / vpn / etc.) tout ça est nativement possible. Donc bon la question est :
Doit-on éduquer les gens là dessus ou doit-on les priver de leur “droits” ?
#29
Et pour 20 balles…
#30
Apparemment l’application était « publiée » sur l’App Store, ou au moins accessible à distance. Tech Crunch ou Recode donnent pas de description précise. Mais on ne parle apparemment pas d’une installation locale. Une installation locale permet d’éviter, au moins limiter, les abus comme Facebook a pu en profité.
Facebook broke an agreement it made with Apple by publishing a “research” app for iPhone users that allowed the social giant to collect all kinds of personal data about those users
Facebook sidesteps the App Store and rewards teenagers and adults to download the Research app and give it root access to network traffic in what may be a violation of Apple policy so the social network can decrypt and analyze their phone activity, a TechCrunch investigation confirms.
source Recode
source Tech Crunch
Quoi qu’il en soit, le fait qu’un outil professionnel dédié à la flotte d’appareils professionnels ai pu être dévoyé de la sorte n’exonère pas Apple de ses responsabilités.
#31
Bah je vais pas nier que je participe à l’hypocrisie ambiante en achetant et en utilisant des smartphones. :/
Ça m’fait chier… j’suis lâche… mais j’ai pas envie d’être courageux et seul.
#32
Un lien de DL d’une application ca se partage, on fait la recette de nos applications chez nos client avant de publié sur le store Apple (validations qui peuvent prendre 1 mois)
Lors de l’installation de la dite appli on valide le développeur. Je vois vraiment pas quel vérif Apple peux faire…
#33
En fournissant une liste blanche des appareils de la flotte éligibles à la monté en privilèges.
Ou même en fournissant des appareils “durcis” prévus pour l’occasion. Y’a des solutions… La première que j’ai citée est bête comme choux.
Encore une fois, on octroie pas ce type de privilèges à n’importe quelle application sur n’importe quel appareil.
J’ai été dev Windows Phone, pour contourner certaines limites j’ai dû emmener plus d’une centaine de téléphones au siège d’Issy-les-Moulineaux. C’est chiant, j’en conviens… Mais au moins, du moins à l’époque (2012), la clientèle “lambda” était préservée des combines comme on a là. (Attention, je ne dis pas qu’il n’y avait pas de failles de sécurité.)
Il faut savoir ce qu’on veut. On peut pas avoir la facilité, la sécurité, l’accessibilité, tout ça ensemble. Il y a un juste milieu. J’estime que le travail d’une extrême minorité (les professionnels qui utilisent un téléphone dont toutes les sécurités doivent sauter) ne devrait pas interférer avec la sécurité des données personnelles des particuliers. C’est là que [b]je[/b ]situe le juste milieu : en faisant en sorte que la licence pro dont bénéficie Facebook ne concerne que des appareils pro.
Charge à Apple de se démerder. Ça fait aussi partie de leurs prérogatives… C’est leur OS, après tout.
#34
dac donc demain la liste blanche je rajoute 4 terminaux et c’est bon… tu vérifies comment?
#35
Tu vérifies que les IMEI ou les DeviceID ont bien été achetés par toi ou ton client. Mais le plus sérieux reste encore de fournir des appareils pros, dont tu peux contrôler la traçabilité.
P.S. : Je ne travaille pas chez Apple, c’est pas à moi de faire leur taff et de trouver les solutions de leurs défauts. Dernière fois que je réponds à une question comme ça. Parce qu’avec un raisonnement pareil on empêche rien donc on fait que dal et c’est le zbeule. Bonne journée.
#36
#37
Avec des solutions comme ça on coule des OS en même temps…
De la gestion de parc avec du matériel acheter par des presta/ perso ou autre on en a plein (Orange c’est le cas notamment) du coup ca résout aucun pb. De même que du matos pro… j’ai besoin de gestion de parc sur un terminal perso (ou la boite paye une partie comme chez Orange encore une fois) pareil même pb.
C’est facile les il faut que… Si personne le fait c’est pas vraiment pour rien…
Bonne journée
#38
Je t’invite à te renseigner sur les lois de protection des données des employés, et les limites imposées aux employeurs concernant l’audit et le flicage des appareils (persos ou pros).
C’est pas parce que tout le monde a des pratiques dégueulasses que ça en fait des bonnes pratiques.
Ma maman me disait, quand j’étais petit “Si Benjamin saute d’un pont, tu sautes aussi ?”.
Bye !
P.S. : iOS et Android doivent leur succès à des usages non-pro. Ils sont clairement pas pensés pour ce type d’usage. Donc non… ils couleraient pas.
#39
#40
Le premier lien de la brève (révélations autour de Research), répond je crois à beaucoup de tes questions.
#41
#42
#43
#44
Wow, mais pourquoi diable cet emballement ?
" />
Et puis bon :
“L’incompetent dans l’histoire, c’est FB. Ils auraient monté une filiale
avec son propre contrat de gestion de flotte juste pour espionner les
pimpims, ça aurait été bon lorsqu’Apple revoque le certif. Ca n’aurait
eu aucun impact sur le siege…”
Voilà une merveilleuse idée
Plus sérieusement, Apple à bien fait de révoquer ce certificat, mais le fait qu’un tel outil puisse être tranquillement installé sur des iPhone fait tout de même très peur quand à la sécurité du parc Apple.
Je pense qu’il est possible de différencier iPhone “commercial” et iPhone “dev” pour bloquer ou non ce type de certificat…
#45
#46
Le principale est quand même qu’Apple ait conservé sa page Facebook https://www.facebook.com/apple
NB: l’article de blog de Tristant Nitot est pas mal non plus sur le sujet.
#47
Visiblement, Apple est rentré dans le lard de Google aussi qui, semble t’il, fait peu ou prou la même chose :https://www.theverge.com/2019/1/31/18205795/apple-google-blocked-internal-ios-ap…
C’est bien… Apple remue la merde…
#48
#49
#50
J’ai beaucoup réfléchi cette nuit. Et je voulais m’excuser de n’avoir pas respecté tes convictions religieuses.
#51
#52
iOS d’Apple a tout de même un “identifiant publicitaire unique” comme Android de Google. Il est normal que Apple protège ses appareils et ses services (qui sont sa seule source de revenus puisque Apple ne vend pas de publicité ciblée). Cela-dit, personnellement, j’ai du mal à voir, comme Tristant Nitot, un comportement vraiment plus vertueux d’Apple, même si je vois bien que Facebook et Google ont des comportements vicieux, trompeurs, de prédation, etc (voir l’avis de La Quadrature du Net).
#53
#54
#55
En fait moi j’ai dit tout ce que j’avais à dire dans mon premier message. T’as saisi aucune des nuances, pourtant très peu complexes, de mon message. Mais vraiment… Aucune. Je vais pas reciter tes messages disant qu’Apple n’avait aucun rapport avec l’histoire alors que ça se passe sur leur plateforme. Disant qu’Apple fait tout ce qu’il faut, alors qu’ils ont découvert les agissements de Facebook par le biais de personnes totalement étrangères à leur société. Y’a dans la suite des événements la preuve d’une insuffisance manifeste de leur part, mais nan… tu continues à dire qu’Apple n’y est pour rien – ce qui ne veut pas dire qu’ils sont responsables de tout, j’préfère préciser maintenant. T’en viens même à me faire dire que Apple est responsable de tout, partout, tout le temps. Alors que je n’ai jamais dit ça. Tout est dans mon premier message.
Y’a un gros problème de logique chez toi. Très gros. D’où ma réflexion sur ta religion. En réalité je n’en pense rien. Au mieux t’es un fanboy. Au pire, je ne peux pas le dire.
#56
Quelles nuances ?? Reprenons ton 1er message :
#57
On s’en fout de comment ça marche… puisqu’on a la preuve que ça marche pas. Capisce ?!
#58
Je ne vais pas commenter sur ce qu’Apple devrait ou ne devrait pas faire pour rendre compliqué l’usage des certificat “entreprise”… Ceci dit, pensez simplement au cas suivant : développement d’une appli interne dans une entreprise qui fait du BYOD.
Par contre un petit point pas abordé : diffuser une appli de cette façon permet de ne pas avoir à subir les vérifications d’Apple. Du coup, possible d’appeler les API “privées”, celles qu’on est pas censé appeller par exemple parce qu’elles peuvent compromettre la sécurité du téléphone.
A noter qu’il y a déjà eu des POC de comment contourner les vérifications sécuritaires d’Apple, mais là c’est encore une autre histoire.
#59
Et pour ce qui est des récriminations des employés Facebook, il y a une autre possibilité : ils utilisent des apps “entreprise” en interne, peut-être même dans le total respect des conditions d’utilisations, et Apple a révoqué leur certificat entreprise (pas celui de l’appli d’espionnage), du coup toutes leurs appli internes tombent.