Pour éviter le phishing, Apple partage l'adresse IP de Safari avec le géant chinois Tencent 🆕

Mickaël Bazoge |

Safari intègre une fonction d'alerte qui prévient l'internaute lorsqu'il tente d'accéder à un site web frauduleux, c'est à dire présentant un risque de phishing. Pour déterminer les tentatives d'hameçonnage, le navigateur exploite la base de données de navigation sécurisée de Google, dont les informations remontent à Safari en renseignant des données calculées à partir de l'adresse IP de l'utilisateur.

A priori depuis le mois de février, Apple s'appuie aussi sur Tencent Safe Browsing, un service similaire à celui de Google basé en Chine, Tencent oblige. On n'est jamais trop prudent, ce d'autant que l'activité de Google en Chine est réduite, mais dans le contexte actuel, la découverte du site Reclaim the Net tombe assez mal.

Les autorités chinoises, très portées sur la surveillance, ne pourront qu'apprécier de pouvoir enregistrer les adresses IP des utilisateurs de Safari. Et malgré les beaux discours, Apple n'a guère d'autre choix que de se plier aux règles de Pékin. Même si le constructeur utilise le service de Tencent à des fins légitimes, le soupçon est de mise. Par ailleurs, on peut aussi ne pas apprécier que Google puisse enregistrer ses adresses IP.

Il est possible de désactiver cette fonction d'alerte, dans les réglages de Safari > Alerte si site web frauduleux. On y gagnera en tranquillité d'esprit, mais on perd un service bien pratique.

Mise à jour — Apple a répondu à la polémique, en précisant le mode de fonctionnement de la fonction de prévention des sites frauduleux. « Quand la fonction est activée [elle l'est par défaut, NDLR], Safari vérifie l'URL dans des listes de sites connus et affiche une alerte si l'URL visitée par l'utilisateur est soupçonnée de pratiques frauduleuses comme l'hameçonnage. Pour accomplir cette tâche, Safari reçoit de Google une liste de sites connus pour être malveillants, et pour les appareils dont la région a été indiquée en Chine, le navigateur reçoit une liste de Tencent. L'URL du site visité n'est jamais partagée avec un fournisseur et la fonction peut être désactivée ».

avatar aleskandre | 

@Memo

😂😂😂

avatar occam | 

@iVador

Comme dissonance cognitive, one ne saurait faire mieux.

avatar fousfous | 

Bah après globalement pour les sites chinois t'as pas trop le choix d'utiliser la base de données de Tencent comme Google n'est pas présent là bas.

avatar kantandane | 

@fousfous

Mais l’un est il privilégie sur l’autre où les deux bases sont elles utilisées systématiquement ?
Quoi qu’il en soit merci de l’info .. ils ont de beaux discours chez Apple mais chaque jour on découvre un peu plus à quel point la confidentialité ils s’en cognent pas mal

avatar fousfous | 

@kantandane

Aucunes idée, mais en Chine tu peux être sur que ce soit Tencent comme y a pas de Google.

avatar Krysten2001 | 

@kantandane

J’aurai vraiment tout entendu

avatar hirtrey | 

@kantandane

C’est le fonctionnement de tous les navigateurs. L’IP est contenu dans l’entête des requêtes.
A ton avis comment fonctionne les sites du style « what my ip »

avatar byte_order | 

@hirtrey
> C’est le fonctionnement de tous les navigateurs.

Tout logiciel utilisant le protocole IP, pour être précis. Pas que les navigateurs.
Internet c'est pas que le Web, de nos jours, en volume, y'a plus de requêtes qui concernent youtube ou netflix que de requêtes HTTP(S), pour info.

avatar ForzaDesmo | 

Pour ma part le seul "envoyé à Google" m'a fait d'origine ne jamais cocher cette case. Je préfère faire travailler mon raisonnement et la logique des choses. Moins d'aide est bien souvent gage d'indépendance. Si je peux faire sans, je préfère alors sans, quitte à devoir réfléchir un peu plus 🤓🤔

avatar Sgt. Pepper | 

@ForzaDesmo

👍🤝
Exactement ce que j’ai fait également.

Encore un « piège de Google » 😤
Sous prétexte d’un service « gratuit », Google récolte des données privées pour son Service de pub ciblée AdSence&Co 🤬
L’enfer est pavé de bonne intentions ☠️

Je ne comprends pas qu’Apple ne gère pas un cache anonymisé de cette base via iCloud 😭
(Doit être interdit par Google 😈?)
Ou n’affiche pas un écran pour demander le consentement explicite à son activation 😡

avatar ForzaDesmo | 

@ Sgt. Pepper

Je dirais même plus, pourquoi Apple ne colle pas d'office un VPN dans Safari comme Opera ?!

avatar Baptiste_nv18 | 

@ForzaDesmo

Euh vu le nombre d’utilisateur d’iPhone comparé à Opera, je pense qu’Apple aurait besoin de pas de serveur en plus ^^

avatar ForzaDesmo | 

@Baptiste_nv18

Euh vu le nombre d’utilisateur d’iPhone comparé à Opera, je pense qu’Apple aurait besoin de pas de serveur en plus ^^

Désolé, je ne comprends pas la France. 🤔

avatar Sgt. Pepper | 

@ForzaDesmo

On n’a pas tous besoin d’un VPN: mais cela pourrait être un service Apple comme le « SignIn with Apple »

avatar byte_order | 

@Sgt. Pepper

Le volume de traffic à gérer n'a rien à voir.
Là, il faut rediriger la totalité des paquets IP depuis ou à destination de chaque iPhone.
C'est un peu autre chose que de rediriger quelques requetes sur une adresse email + un token d'authentification par-ci par là.

avatar Sgt. Pepper | 

@byte_order

Rien compris... Quel rapport avec le cache dont je parlais.

D’ailleurs iGen a mis a jour l’article: c’est exactement ce que fait Apple 👌

avatar byte_order | 

@Sgt. Pepper

Je réagissais sur un service VPN intégré géré par Apple, pas à un cache d'une blacklist d'URLs.

Safari ne fait probablement pas une requête à chaque fois et a cette liste en cache local déjà, mais elle doit bien être mise à jour régulièrement à un moment ou l'autre.

Apple pourrait en effet avoir un service à elle, qu'elle se charge de mettre à jour régulièrement auprès d'un tiers. Mais j'imagine que les tarifs pour l'exploitation de ces données de ces tiers ne sont pas les même selon que l'utilisateur final est caché par Apple ou pas...

avatar Sgt. Pepper | 

@byte_order

Aucun rapport avec mon Post qui ne parlait pas de VPN 😳

avatar byte_order | 

@Sgt. Pepper
> Aucun rapport avec mon Post qui ne parlait pas de VPN 😳

Je cite le post en question :

"On n’a pas tous besoin d’un VPN: mais cela pourrait être un service Apple comme
le « SignIn with Apple »"

Soit vous avez oubliez, soit ce post était très mal formulé.

avatar Sgt. Pepper | 

@byte_order

Ou soit je n’arrive pas à remettre les threads dans l’ordre
Désolé

avatar byte_order | 

@Sgt. Perrer
> Ou soit je n’arrive pas à remettre les threads dans l’ordre.
> Désolé

Y'a pas de mal, cela arrive à tout le monde.

avatar reborn | 

@byte_order

Mais j'imagine que les tarifs pour l'exploitation de ces données de ces tiers ne sont pas les même selon que l'utilisateur final est caché par Apple ou pas...

Tu mélange un peu de tout (achat de profil publicitaire, système de protection anti phishing..

avatar byte_order | 

@reborn
> Tu mélange un peu de tout (achat de profil publicitaire, système de protection
> anti phishing..

Vous croyez vraiment que maintenir à jour une liste de site web connu pour faire du phishing, c'est par pur altruisme et les beaux yeux d'Apple qu'une boite comme Google le fait ?
Vous croyez que si Apple voulait héberger elle même le service sans pour autant contribuer quoi que ce soit dans les frais de maintenance à jour de la liste, Google serait d'accord ?

C'est vous qui (tenter de ?) mélanger tout. Nul part je n'ai parlé d'achat de profil publicitaire dans mon hypothèse émise un peu plus haut.

avatar ForzaDesmo | 

@Sgt. Pepper

On n’a pas tous besoin d’un VPN: mais cela pourrait être un service Apple comme le « SignIn with Apple »

C'est certain. Mais c'est justement assez pratique quand tu n'as pas besoin de t'en servir souvent et de devoir prendre un abonnement. C'est pourquoi je trouve la solution d'Opéra très bien. D'ailleurs c'est uniquement pour ça que je me sers d'Opéra occasionnellement.

Mais je verrai bien un iVPN, à la sauce iCloud. Gratuit pour quelques Go de traffic et ensuite tu passes à la caisse si tu veux plus. 😉

avatar Sgt. Pepper | 

@Sgt. Pepper

Donc finalement Apple gere bien cela via un cache du fichier 👌
(vois maj de l’article)

Décidément les journalistes s’emballent vite en ce moment (syndrome ligonnes) 🙄

avatar reborn | 

@Sgt. Pepper

Voila 🙄

Ça ferais aussi une bonne raison pour certains de ne jamais switcher sur un smartphone chinois car c’est moins cher 🤣

Je repense à ce qu’il s’est passé ce weekend avec Xavier Dupont de Ligonnès..

avatar reborn | 

Le premier tweet est apparu en février, depuis on en a plus parler de cette fonctionnalité.. ça n’a choqué personne

avatar byte_order | 

@reborn
peut-être parce que depuis le marketing "la protection des données privées est un droit humain" d'Apple a pris un peu une drôle de couleur. Si l'auto-censure d'Apple envers la Chine avait été plus d'actualité en février dernier, on aurait probablement plus entendu parler alors de cette "nouveauté" dans Safari.

avatar reborn | 

@byte_order

peut-être parce que depuis le marketing "la protection des données privées est un droit humain" d'Apple a pris un peu une drôle de couleur

Et en quoi cette option dont le fonctionnement est expliqué et qui peut être désactiver change ça ?

L’implémentation d’Apple n’est pas choquante. En gros: si l’on (Apple) fait quelque chose on vous explique pourquoi et l’on vous laisse le choix.

Jobs y tient le même discours ici
https://youtu.be/39iKLwlUqBo

avatar byte_order | 

@reborn
> En gros: si l’on (Apple) fait quelque chose on vous explique pourquoi et l’on vous
> laisse le choix.

Parler de choix alors qu'il est interdit d'utiliser un autre moteur web que celui de Safari sur iOS, c'est assez culotté.

avatar reborn | 

@byte_order

Je parle de choix dans la désactivation de cette fonction d’alerte de site frauduleux.

Pas dans le choix du navigateur.

Essaye au moins de rester dans le contexte..

avatar misc | 

Décoché, je préfère risquer des sites frauduleux que d'être garanti qu'une dictature me suive a la trace.

avatar strix80 | 

Bonjour ,
est pourquoi essayer d’utiliser d’autres navigateurs à la lace de Google ?

avatar xDave | 

@strix80
"Bonjour ,
est pourquoi essayer d’utiliser d’autres navigateurs à la lace de Google ?"

Je crois que la réponse est dans ta question

avatar strix80 | 

Quelqu’un a t-il remarqué que certains sites , qui auparavant ne précisaient rien, affichent : site non sécurisé, depuis quelques temps ?

avatar SyMich | 

C'est l'une des mises à jour d'iOS12 qui a introduit ce message pour les sites qui ne sont pas en https
Ça fait donc déjà quelques mois que c'est ainsi.

avatar strix80 | 

@SyMich

Merci.

avatar Rodri31 | 

@strix80

Oui c’est depuis une certaine mise à jour d’iOS 12.

avatar huexley | 

"Pour éviter le phishing"

C'est tellement généreux

avatar strix80 | 

Ce qui ne semble pas ce confirmer par les différents commentaires ici ...
Qwant navigateur français , censé plus protéger notre vie privé n’est-il pas à encourager ?
Google sans doute plus complet pour les recherches sur le net, me semble beaucoup trop intéressé par le marketing.

avatar byte_order | 

Bah, pas grave, suffit de changer de moteur web, y'a pas que Safari.
Quoi ? iOS ?

Oh, wait!

avatar fernandn | 

Désactivé... À suivre...

avatar mk3d | 

La parano des gens. Vous avez que sur n’importe quel site web votre ip peut être enregistrée?
Je ne comprends pas ce faux débats. Très français de se plaindre pour tout.

avatar Krysten2001 | 

@mk3d

Surtout que Google ne sait pas exactement quelle page on utilise. Merci 9to5mac

avatar byte_order | 

@mk3d
> Vous savez que sur n’importe quel site web votre ip peut être enregistrée?

L'adresse IP, oui.
La liste des sites web que vous visitez régulièrement, non.

Nuance.

EDIT: d'après Apple, la liste des sites web visitées n'est pas transmise par ce mécanisme. Sous couvert que c'est bien le cas, seule la liste de toutes les adresses IP utilisées depuis des iPhones est donc exposée à un tiers, dont l'un est sous contrôle d'une dictature.

avatar mk3d | 

@byte_order
Ah, parce que tu crois encore que ton fai ne récupère pas déjà ça depuis... 20ans? Et ton gouvernement? 🤣
La vie privée sur internet est une illusion.
Ah, et oubliez le VPN, ceux à l’autre bout font pareil.
Bonne soirée mes paranos.

avatar byte_order | 

@mk3d
> Ah, parce que tu crois encore que ton fai ne récupère pas déjà ça depuis... 20ans?
> Et ton gouvernement?

Alors pourquoi tout ce marketing pour prétendre que les données personnelles sont mieux protégées par Apple, si au final de toute façon cela ne change rien, comme vous dites !?
A quoi bon accepter de céder toujours plus de contrôle sur nos outils numériques contre une prétendue meilleure protection de notre vie numérique si, en pratique, c'est surtout une perte de contrôle tandis que notre vie numérique est déjà depuis belle lurette exposée ?!

Je partage ce point de vue, pour info, je pense en effet que c'est une illusion de croire qu'on peut cacher votre vie numérique - j'ai bossé un temps pour une boite qui fait des sondes de surveillance de traffic Internet pour les opérateurs, au passage.

Je dénonce juste l'hypocrisie de se servir de la peur et l'incompétence des gens pour leur faire accepter de céder/confier toujours plus de contrôle à un acteur largement intéressé financièrement à ce que vous lui cédiez toujours plus ce contrôle, même longtemps *après* la vente.

avatar Krysten2001 | 

@byte_order

On préfère Apple car on a des outils pour protéger notre vie privée et eux ne la vendent pas,...

avatar byte_order | 

@Depret Lucas
> On préfère Apple car on a des outils pour protéger notre vie privée et eux ne la vendent pas,...

Faudrait savoir, @mk3d lui dit que de toute façon la vie privée sur internet est une illusion, que les opérateurs savent déjà tout, et que tout gouvernement peut donc accéder à votre privée sans votre consentement au besoin.

Par ailleurs :
- Apple ne vend pas votre vie privée, mais fait son beurre sur votre captivité dans son écosystème
- Google ne vend pas votre vie privée, mais fait son beurre sur le placement de pubs selon votre profil (qui reste chez Google, c'est leur matière première, collectée à grands frais, ils ne sont pas fous au point de la céder alors qu'ils peuvent vendre du placement de pub à la place !).

avatar Krysten2001 | 

@byte_order

Apple fait son beurre en vendant son matériel plus cher et Google utilise et vend à des tiers les données des utilisateurs.

Pages

CONNEXION UTILISATEUR