La société russe ElcomSoft a révélé aujourd'hui être parvenue à extraire de comptes iCloud des historiques de navigation de Safari remontant à plus d'un an. Dans la masse de ces liens il s'en trouvait plusieurs qui avaient été pourtant effacés par leurs utilisateurs, ils étaient clairement estampillés "deleted".
Lorsque vous utilisez Safari et que vous avez activé la synchronisation iCloud dans les réglages d'iOS et de macOS, tous les liens des pages que vous visitez et les requêtes Google sont enregistrés dans l'historique de navigation. Ce journal d'activité est synchronisé via iCloud entre vos différents iPhone, iPad ou Mac.
C'est fort pratique mais le délai de stockage de ces liens ne devrait normalement pas dépasser les 30 jours, au-delà ils sont automatiquement purgés de votre historique. En outre, lorsque vous effacez manuellement tout ou partie de ces liens sur l'un de vos appareils, cet ordre de suppression est répliqué de la même manière. C'est là que le patron d'ElcomSoft, Vladimir Katalov, a observé un fonctionnement anormal.
Cet éditeur développe des logiciels spécialisés dans les récupérations de données, même sur iCloud (lire aussi Fuite de photos de stars : la responsabilité d'Apple est-elle engagée ?). Vladimir Katalov s'est rendu compte qu'il pouvait voir son historique de navigation allant jusqu'à la fin 2015, et les liens supposément supprimés par ses soins étaient toujours listés.
ElcomSoft a donc mis à jour l'une de ses applications — Elcomsoft Phone Breaker — et fait vérifier sa trouvaille par Forbes. L'un des journalistes a pu constater la même chose avec son propre compte iCloud, 7000 liens "effacés" étaient encore là. À l'inverse, une recherche sur les notes synchronisées depuis l'application du même nom ne donnait pas d'archives supérieures à 30 jours, signe que la purge était effectuée convenablement.
Que des éléments effacés par un utilisateur sur son téléphone ou son ordinateur ne le soient pas dans la minute sur le nuage n'est pas suprenant, un délai de rétention est nécessaire pour que ces éléments marqués comme supprimés puissent transmettre cette information à vos autres appareils lorsque vous les mettrez en marche.
Sauf qu'Apple a visiblement mal géré le stockage de ces références effacées et elles sont restées visibles pour des utilitaires comme celui d'ElcomSoft. Sans oublier, pour les autres liens, ce délai de conservation plus long qu'il ne devrait l'être.
Dans la foulée de la publication de l'article de Forbes, Vladimir Katalov a constaté que son logiciel n'avait plus accès au même volume d'informations que précédemment. L'historique accessible sur son compte iCloud avait été réduit à 30 jours et les liens marqués comme effacés n'étaient plus là. Soit Apple a corrigé le bug, soit elle a déplacé ces éléments à un endroit inaccessible à l'outil.
Reste qu'aucune réponse n'a encore été fournie par Apple pour expliquer le comportement qui prévalait jusque là.
Mise à jour à 20 h 45 : Des sources de 9to5Mac précisent que le problème est censé être réglé pour l’écrasante majorité des utilisateurs puisque depuis iOS 9.3 les URL ne sont plus conservées en clair quand l’historique est supprimé. Toutefois, selon Forbes, cela n’a pas empêché l’outil d’Elcomsoft de soutirer des informations dans les dernières versions de Safari. Toujours selon 9to5Mac, pour les utilisateurs ayant une version antérieure à 9.3, la contrariété a été corrigée récemment avec une mise à jour sur les serveurs. Quoi qu’il en soit, l’information à retenir est qu’Apple a semble-t-il pris une nouvelle mesure efficace à la suite de l’article de Forbes.