Apple assure l'absence d'abus de la faille dans Apple Plans avant la correction par iOS 16.3

La confidentialité est un sujet important dans la communication d'Apple, l'entreprise fait tout pour vous prouver que vos données sont en sécurité et que vous n'êtes pas surveillé par des tiers lors de l'utilisation de votre iPhone. Quand une faille de sécurité a lieu, Apple prévient de la correction et réalise une longue enquête pour vérifier si la faille a été exploitée. Dans le cas de la faille d'Apple Plans corrigé par iOS 16.3, Apple certifie qu'aucun développeur ne s’en est servi !

Apple le promet, la faille n'a pas été exploitée

La mise à jour iOS 16.3 a apporté quelques nouveautés timides, mais essentiellement des correctifs de sécurité qui ont bouché des failles inquiétantes pour le respect de la vie privée. Dans la liste qu'a dévoilée Apple, on a pu apercevoir que le géant californien avait résolu une faille sur Apple Plans qui permettait à n'importe quel développeur expérimenté de contourner le refus du suivi de l'activité sur iOS et iPadOS !
Résultat, il devenait possible de profiter de la même approche qu'avant l'anti-suivi publicitaire, c'est-à-dire suivre l'activité de l'utilisateur pour des publicités ciblées sans son autorisation.

Après une courte recherche, le blogueur brésilien Rodrigo Ghedin avait expliqué avoir trouvé au moins une application qui avait exploité la faille dans Apple Plans avant la mise à jour iOS 16.3 !
Cette application n'était autre que iFood, une célèbre app de livraison de repas concurrente de Deliveroo et Uber Eats au Brésil.

Cette information qui s'est relayée massivement sur les réseaux sociaux et les sites qui traitent l'actualité Apple est remontée jusqu'aux oreilles des dirigeants à l'Apple Park. L'entreprise a réalisé une enquête approfondie d'une semaine afin de savoir si iFood ou une autre application avait profité de la faille pour contourner l'anti-suivi publicitaire.

Les résultats de l'enquête d'Apple sont clairs, aucune application dans le monde a exploité cette faille de sécurité. L'entreprise désigne donc le rapport du blogueur Rodrigo Ghedin comme erroné ou basé sur de mauvaises informations qui ont porté à confusion dans le jugement de Ghedin.

Voici ce qu'a déclaré Apple en exclusivité au média 9to5mac, il y a quelques minutes :

Chez Apple, nous sommes convaincus que les utilisateurs doivent choisir quand partager leurs données et avec qui. La semaine dernière, nous avons publié un avis concernant une vulnérabilité en matière de confidentialité qui ne pouvait être exploitée qu'à partir d'applications non standardisées sur macOS. La base de code que nous avons corrigée est partagée par iOS et iPadOS, tvOS et watchOS, de sorte que le correctif et l'avis ont été propagés à ces systèmes d'exploitation également, malgré le fait qu'ils n'ont jamais été à risque. La suggestion selon laquelle cette vulnérabilité aurait pu permettre à des applications de contourner les contrôles de l'utilisateur sur l'iPhone est fausse.

Un rapport a également suggéré à tort qu'une application iOS exploitait cette vulnérabilité ou une autre pour contourner le contrôle de l'utilisateur sur les données de localisation. Notre enquête de suivi a conclu que l'application ne contournait les contrôles de l'utilisateur par aucun mécanisme.

Une bonne nouvelle pour les utilisateurs qui n'ont pas eu leurs réglages de confidentialités compromis par une faille de sécurité. Dans le cas d'iFood, l'application ne sera pas sanctionnée, on imagine que si les développeurs de l'app avaient fraudé, il y aurait probablement eu un retrait de l'App Store de manière temporaire ou définitive. Apple reste toujours vigilant au bon respect des règles de l'App Store, cela permet de maintenir un environnement sain pour les utilisateurs au moment du téléchargement d'une app ou pendant son utilisation.