L’iPhone transmet le registre de ses appels vers les serveurs d’Apple à l’insu des utilisateurs

Sécurité informatique

L’historique des appels de l’iPhone étendu sur une période allant jusqu’à quatre mois est synchronisé dans iCloud sans la permission des utilisateurs, selon ce qu’a découvert le développeur d’outils de piratage russe Elcomsoft.

Alors qu’il est convenu que la fonction sauvegarde automatique d’iCloud transmet la quasi-totalité des données personnelles se trouvant dans un iPhone (dont, bien sûr, les journaux d’appels), il est préoccupant d’apprendre aujourd’hui que les journaux d’appels sont transmis vers les serveurs iCloud même lorsque cette fonction est inactive.

Les journaux d’appels de l’iPhone sont transmis vers les serveurs iCloud même lorsque la sauvegarde automatique est inactive.

«La synchronisation des journaux d’appels se fait presqu’en temps réel, parfois seulement après quelques heures», a déclaré Vladimir Katalov, PDG d’Elcomsoft, au magazine Forbes. «Tout ce dont vous avez besoin pour ce faire est que la fonction iCloud Drive soit activée, et il n’y a aucun moyen de désactiver la synchronisation sans désactiver iCloud Drive complètement. Dans ce cas, de nombreuses applications cesseront de fonctionner ou perdront complètement les fonctionnalités liées à iCloud.»

Les journaux d’appels permettent de connaître : les numéros de téléphone reçus ou transmis, les heures et dates des appels, leur durée, les appels manqués, les appels transférés, incluant le détail des appels FaceTime. Bien que les opérateurs mobiles peuvent également conserver le registre des appels, cette pratique n’est pas réglementée de la même façon dans tous les pays.

Vous faciliter la vie

Quelle est la raison de cette synchronisation furtive? Faciliter la vie des utilisateurs. En effet, Apple a intégré cette fonction depuis iOS 8 en introduisant la possibilité de recevoir et d’envoyer des appels via l’iPhone à partir d’un iPad ou d’un Mac.

La situation serait encore pire sous iOS 10 depuis CallKit, une trousse d’outils destinée aux développeurs qui permet à des applications – comme Skype ou WhatsApp – de l’exploiter pour enregistrer le détail de leurs communications.

Apple a déjà mentionné qu’elle avait l’intention d’utiliser un chiffrage de bout en bout pour les sauvegardes iCloud dans un avenir rapproché. Toutefois, à l’heure actuelle, les sauvegardes sont chiffrées, mais Apple en détient la clé.

Alors que le modèle de sécurité des iPhone récents est exemplaire (aux dires d’Elcomsoft), et que même le déverrouillage de l’appareil avec Touch ID ne signifie pas automatiquement la possibilité d’extraire des données, la protection des serveurs d’Apple ne bénéficie malheureusement pas d’une sécurité aussi accrue. Dans son article à propos de sa découverte, Elcomsoft explique les étapes à suivre pour parvenir à extraire les données d’un utilisateur iCloud à partir d’un jeton d’authentification extrait de son ordinateur.

Interrogé sur le sujet par le blogue 9 to 5 Mac, Apple s’est gardé de commenter directement la situation, en déclarant :

«Nous offrons la synchronisation de l’historique des appels à titre de commodité pour nos clients afin qu’ils puissent retourner des appels depuis n’importe lequel de leurs périphériques. Apple est profondément attachée à la protection des données de nos clients. C’est pourquoi nous donnons à nos clients la possibilité de garder leurs données privées. Les données des périphériques sont cryptées avec le code d’accès de l’utilisateur, et l’accès aux données iCloud, y compris les sauvegardes, requiert le nom d’utilisateur (Apple ID) et le mot de passe. Apple recommande à tous les clients de choisir des mots de passe complexes et d’utiliser l’authentification avec validation en deux étapes.»