Les utilisateurs chinois de Safari sur iPhone ou iPad envoient depuis iOS 13 (et potentiellement depuis les moutures 12.2 et ultérieures) des données Safe Browsing à Tencent.
Ces informations sont expédiées dans le cadre de Google Safe Browsing, sécurité activée par défaut contre les sites malveillants. Une fonction reprise par nombre de produits, notamment Firefox.
Or, tant que cette fonction est active, elle envoie également des données à Tencent Safe Browsing, dont des adresses IP. La mention de cette collecte apparaît dans les Réglages d’iOS > Safari > Safari et confidentialité (lien bleu). Le texte est d’ailleurs traduit en français pour les utilisateurs concernés.
On ne sait pas concrètement à l’heure actuelle si ces informations sont envoyées à Tencent en-dehors de la Chine. Apple a été invitée par plusieurs médias à s’exprimer sur le sujet, mais n’a pas encore répondu.
La firme a cependant tout intérêt à communiquer sur le sujet, car l’actualité est bousculée actuellement par diverses affaires liées à la Chine, dont le retrait par Cupertino d’une application qui aidait les manifestants à Hong Kong à repérer les barrages de police, et la décision par Blizzard de bannir un joueur des tournois de Hearthstone, là encore en lien avec Hong Kong.
Une grogne monte ainsi actuellement contre des sociétés américaines qui « s’écraseraient » devant la toute-puissance chinoise pour préserver leur chiffre d’affaires.
En attendant que la lumière soit faite sur les échanges de données avec Tencent, les utilisateurs suspicieux peuvent se rendre dans les réglages de Safari et désactiver la ligne « Alerte si site frauduleux ».
Commentaires (18)
#1
J’allais dire “ils doivent transpirer en ce moment, chez Apple”… mais même pas. On s’approche tranquillou d’une valeur universelle et commune : le pognon. Et enfin la paix sur Terre régnera… bon gré, mal gré.
#2
Je ne comprends pas la référence à Firefox. S’il utilise aussi le service Google Safe Browsing, envoie-t-il aussi des données à Trencent ? Si non, pourquoi le citer, s’il n’est pas mis en cause ?
#3
C’est la question que je me posais.
#4
#5
Merci pour les précisions
" />
#6
Les données sont anonymisées avant envois?
Sinon ca serait juste M.A.G.N.I.F.I.Q.U.E. de la part d’une société qui se vante de protéger la vie privée de ses utilisateurs y compris contre le F.B.I …
En pratique ils sont comme les autres.
#7
Mais que fait Donald Trump ?
Il a tweeté là dessus ou pas encore ?
#8
#9
« Nous prenons le respect de la vie privée de nos utilisateurs très au sérieux, cela fait partie de l’ADN de l’entreprise. Nous respectons les règlementations en vigueur, et payons les impôts conformément aux règles internationales. Nous continuons d’oeuvrerpour le confort de nos utilisateurs, et mettons toute notre énergie à faire du monde un endroit meilleur et sécurisé. »
" />
#10
#11
Pour plus de détail : https://developers.google.com/safe-browsing/v4/#update-api-v4
Mozilla utilise la version “Update” de l’API qui récupère l’intégralité de la base ce qui donne de meilleures performances et donc ne dévoile pas la navigation.
#12
Faut pas chercher c’est à la mode de dire du mal de Firefox sans savoir de quoi on parle en ce moment.
Ça contraste avec la période ou on en disait du bien sans savoir de quoi on parlait non plus.
#13
C’est (partiellement) exact. Même si c’était juste pour illustrer mon propos, j’aurais du le préciser
" />
Je dis “partiellement” car il y a par exemple, les téléchargements périodiques des maj de la liste. Ou, plus problématique, les téléchargements des hashs complets en cas de conflit de hash partiel… et donc la possibilité pour le serveur de deviner les sites que tu visites. M’enfin bon, c’est clair que c’est mieux que le “Lookup” direct chez Google, Tencent.
#14
Désolé mais je ne vois pas en quoi annoncer quelque chose de factuellement faux, illustre correctement le propos.
De plus, les mises à jour de la blacklist ne sont pas fonction des sites visités, mais de manière périodique en fonction de l’évolution de la blacklist hébergée par Google, ça ne permet donc pas de deviner ton historique.
#15
Les services Google étant bloqués en Chine, l’usage de Tencent ne serait pas juste un second fournisseur à Apple pour continuer à proposer le SafeBrowsing aux utilisateurs Chinois ?
#16
A savoir que c’est désactivable sous FF.
" />
#17
Update:https://www.theregister.co.uk/2019/10/14/apple_china_tencent/
Juste les adresses IP, pas les URL, et juste pour les utilisateurs en Chine (pas pour les utilisateurs en langue chinoise hors de Chine)
discussion:https://news.ycombinator.com/item?id=21254166
#18
Sauf qu’ils disent ça (ici):
" />
" />)
" />
" />)
“Le second type d’occasions survient dans le cas où vous rencontrez un site de phishing ou de logiciels malveillants qui a déjà été signalé. Avant de bloquer le site, Firefox va demander une double vérification pour assurer que le site rapporté n’a pas été retiré de la liste depuis votre dernière mise à jour. Cette requête ne transmet pas l’adresse du site visité, mais seulement des informations partielles dérivées de l’adresse.”
Bon! Heureusement ça ne passerai jamais par l’esprit de Google d’avoir quelque faux positif (au hasard des pub), et aucune chance qu’ils puissent à l’aide des “informations partielles dérivées de l’adresse” savoir avec quelle adresse de leur liste ça match, aucune! (je ne dit pas qu’ils le font, mais qu’ils puissent le faire facilement, me suffit)
Pour les “logiciels malveillants” :
“Dans des cas comme celui-ci, Firefox va soumettre des informations sur
le fichier, ce qui inclut son nom, son origine, sa taille et la version hachée et chiffrée de son contenu, et les envoyer au service Google Safe Browsing qui aide Firefox à déterminer si le fichier doit ou non être bloqué.
”
Moi en tout cas ça ne gêne pas d’envoyer le nom, l’origine et un hash des .exe que je télécharge, ils ont bien le droit de savoir. Ils devraient le faire pour tout, du reste!
Effectivement c’est désactivable … pour le phishing
Mais pour disconnect.me où est ce que l’on peut choisir une autre liste (du reste même question pour Google Safe browsing), on peut juste choisir entre 2 versions différentes de la liste, la désactivation, on connais pas, le choix d’une liste perso, non plus.
L’interface de Firefox par rapport a ces éléments (blocage divers, ou phishing) est un super bordel. Où rien n’est clairement indiqué/garanti sur le traitement local ou en ligne.
Quand on essaye de tout désactiver pour les blocage, il indique quand même qu’il y a des trucs qui peuvent être bloqués. Ils continue à pinguer heu… demander sa liste à disconect.me ? Ou bien ce sont uniquement des critères locaux. Comment le savoir ?
Avant, par défaut je faisais confiance à Mozilla/Firefox. Ils se sont acharné (le mot n’est pas trop fort) à démontrer qu’ils avaient des gens chez eux complètement fou qui ne savent pas ce qu’est une pub, qui ne voient pas le problème de l’imposer aux utilisateurs (Mr Robot, Booking), ou qui ne voient pas la différence entre enregistrer un screenshot sur un site en accès libre ou sur le disque dur en local ! (Ha! bon! C’est pas pareil ?
Et surtout, qui ont le pouvoir de mettre en pratique leur folie.
Et les pseudo mea-culpa, où ils ne voient pas trop où était le problème, ils feront mieux la prochaine fois
C’est trop demander de ne pas avoir un navigateur qui fait régulièrement “téléphone maison” chez Google, ou d’autres ? Et au moins de pouvoir le désactiver facilement sans ambiguïté.
Tu défend Firefox sur le Google Safe Browsing, tu crois vraiment qu’ils auraient des scrupules à remplacer Google par Tencent ? Avant peut-être, maintenant, je n’en serai pas si sûr.
Rappel moi où ils indiquent qu’ils utilisent un service de Google ?
Pas dans les préférences, en tout cas !
Il faut cliquer sur le “en savoir plus”. Puis lire plusieurs paragraphe pour voir enfin apparaître l’origine de la liste. Et continuer à lire pour voir les paragraphe que je cite plus haut.
Ça leur écorcherai la gueule, d’ajouter une mention “en activant cette option vous téléchargerez régulièrement une liste de “Google Safe Browsing” …en savoir plus” et “Occasionnellement nous pouvons leurs transmettre des information lié à votre navigation … en savoir plus”. Ouah! Ce serai super compliqué.
De toute façon ils ne voient pas où est le problème…
Vivement qu’ils ajoutent de l’IA (comme Apple, je crois) pour rendre le comportement du navigateur complètement imprévisible et difficilement reproductible (de temps en temps ça marchera, de temps en temps non, de temps en temps ils enverra des trucs à Google, ou autre, et on saura pas pourquoi). Le futur !
PS. je continue à utiliser Firefox, pas trop le choix, les autres c’est largement pire. Mais où ils essayent d’aller, je ne sais pas ? (ou plutôt j’ai pas trop envie de le savoir …