Pour éviter le phishing, Apple partage l'adresse IP de Safari avec le géant chinois Tencent 🆕

Mickaël Bazoge |

Safari intègre une fonction d'alerte qui prévient l'internaute lorsqu'il tente d'accéder à un site web frauduleux, c'est à dire présentant un risque de phishing. Pour déterminer les tentatives d'hameçonnage, le navigateur exploite la base de données de navigation sécurisée de Google, dont les informations remontent à Safari en renseignant des données calculées à partir de l'adresse IP de l'utilisateur.

A priori depuis le mois de février, Apple s'appuie aussi sur Tencent Safe Browsing, un service similaire à celui de Google basé en Chine, Tencent oblige. On n'est jamais trop prudent, ce d'autant que l'activité de Google en Chine est réduite, mais dans le contexte actuel, la découverte du site Reclaim the Net tombe assez mal.

Les autorités chinoises, très portées sur la surveillance, ne pourront qu'apprécier de pouvoir enregistrer les adresses IP des utilisateurs de Safari. Et malgré les beaux discours, Apple n'a guère d'autre choix que de se plier aux règles de Pékin. Même si le constructeur utilise le service de Tencent à des fins légitimes, le soupçon est de mise. Par ailleurs, on peut aussi ne pas apprécier que Google puisse enregistrer ses adresses IP.

Il est possible de désactiver cette fonction d'alerte, dans les réglages de Safari > Alerte si site web frauduleux. On y gagnera en tranquillité d'esprit, mais on perd un service bien pratique.

Mise à jour — Apple a répondu à la polémique, en précisant le mode de fonctionnement de la fonction de prévention des sites frauduleux. « Quand la fonction est activée [elle l'est par défaut, NDLR], Safari vérifie l'URL dans des listes de sites connus et affiche une alerte si l'URL visitée par l'utilisateur est soupçonnée de pratiques frauduleuses comme l'hameçonnage. Pour accomplir cette tâche, Safari reçoit de Google une liste de sites connus pour être malveillants, et pour les appareils dont la région a été indiquée en Chine, le navigateur reçoit une liste de Tencent. L'URL du site visité n'est jamais partagée avec un fournisseur et la fonction peut être désactivée ».

avatar byte_order | 

@Depret Lucas

Toujours pas. Google utilise les données des utilisateurs pour vendre un placement publicitaire, dont seul Google sait sur quelles données des utilisateurs il se détermine.
Google ne revend pas les données des utilisateurs, il vend une surface publicitaire qui sera vu par les utilisateurs qui seront les plus intéressés et/ou intéressant pour une publicité particulière.

Vous n'êtes pas obligé de me croire, mais faite au moins l'effort de vérifier quand vous affirmez qu'ils revendent directement les données collectées.

Par ailleurs, Apple n'étant plus qu'un vendeur de matos, mais également un distributeur (en position d'exclusivité) d'apps iOS, mais également un fournisseur de services de stockage en ligne, de streaming audio, d'articles , non, elle ne fait pas son beurre qu'en vendant son matériel, elle en fait aussi en verrouillant et contrôlant ce matériel afin de capter de l'argent après la vente, via une commission, via le frein de la libre concurrence.

avatar Krysten2001 | 

@byte_order
Google fait de l’espace publicitaire mais vend aussi les données à des tiers pour que eux savent ce que vous aimez,... c’est écrit dans leurs conditions et Apple fait son beurre avec du matériel,... mais n’exploite nos données à des fins marketing avec des tiers, ni les revende,...

avatar Krysten2001 | 

@byte_order

Et il y a de la concurrence

avatar reborn | 

@byte_order

mais fait son beurre sur votre captivité dans son écosystème

Cette mauvaise foi..

Rien n’empêche d’utiliser Google Photos, Whatsapp, Spark etc..

Dire qu’elle fait carrement son beurre sur la captivité, c’est faux et ça n’a pas de sens.

Apple vend du matos et fait son beurre là dessous

avatar byte_order | 

@reborn
Apple ne vend pas que du matos.
Elle capte également entre 30% et 15ù de toute transaction commerciale entre un propriétaire d'un appareil iOS et un éditeur d'un logiciel iOS ou un fournisseur de contenu payant via un logiciel iOS.

C'est un peu facile de penser qu'Apple ne fait que de la vente de matos.
Vu l'énergie qu'elle a mis pour verrouiller à son profit tout ce qui se passe *après* la vente, faut être naïf pour croire qu'elle tire ses profits ultra majoritaire de la seule vente d'iPhone.

Et si c'était que l'Iphone.
Mais tout le mac est devenu captif également : vous ne pouvez pas changer la mémoire, ni le SSD, tout est collé, la puce T2 rend impossible de récupérer vos données suite à une panne sans passer par Apple.

Et sinon, comment on fait pour utiliser Spotify sur un HomePod ? Pourquoi seul leur *service* Apple Music est supporté réellement nativement sur ce produit, si la vente du matos était la seule volonté d'Apple, sans aucune volonté de vous lier à d'autres dépenses non matérielle ?

Et sinon, comment on utilise Chrome sur iOS ? Firefox ?
Comment on met Outlook en messagerie par défaut ?

avatar reborn | 

@byte_order

Pourquoi mettre des bâtons dans les roues de Facebook alors si c’est tout va bien et qu’il n’y a aucune raison d’avoir peur ? 🤔

Et pourquoi le RGPD ? Parce que consentement !

Et on en revient à l’approche d’Apple sur le respect de la vie privée...

avatar byte_order | 

@reborn

Où ai-je dis que tout allait bien !?

Y'a deux approches, au final :
- l'utilisateur final garde le contrôle et la responsabilité sur ce qu'il expose de sa vie privée
- un tiers prend le contrôle à sa place pour protéger son exposition et sa vie numérique est alors sous contrôle de ce tiers.

Je suis pour la responsabilité individuelle, et donc le contrôle individuel.
Tout contrôle central, même sous l'apparence des meilleures attentions (alors qu'il y a d'évidence des intérêts financiers derrière, cf. les choix de céder aux demandes de la Chine par exemple), allant à l'encontre du contrôle par l'individu de *sa* vie numérique, me semble illusoire mais également dangereux, par l'échelle de tout mécanisme centralisé.

Je pense que tout le monde devrait avoir au moins une fois dans sa vie vue le résultat d'une capture du traffic entrant et sortant d'une journée de sa vie numérique en ligne.

avatar reborn | 

@byte_order

2 approches, donc 2 choix

Donc en définitive faudra choisir ou pas de laisser cette case cocher ou pas dans les options de Safari.

Ou se demmerder seul avec android ou l’un de ses forks.

avatar byte_order | 

@reborn

Ouais, ou *simplement* utiliser une plateforme où le moteur web n'est pas imposé de force.

avatar Ol'Dirty | 

Service désactivé immédiatement ! Sérieux qui a déjà eu l’alerte de site frauduleux ? Perso je ne vais pas sur des sites à la con donc je m’en passerai.

avatar byte_order | 

@Ol'Dirty

En poussant cette logique, pourquoi accepter alors toute cette mise sous contrôle par un constructeur au nom de la prétendue "sécurité" qu'il apporte en contre-partie, si c'est pour finalement la désactiver morceau par morceau ensuite ?!

Cela pose sérieusement la question, non ?

Ah, sinon, comment savez vous à l'avance qu'un site comporte du phishing ? Même les sites que vous visitez régulièrement depuis des années peuvent se trouver compromis, y compris contre leur gré (le piratage de sites, cela existe, hein).

avatar Osei Tutu | 

"Les autorités chinoises, très portées sur la surveillance"
On pourrait remplacer chinoises par différentes nationalités et le postulat se verifierait également. Étant donné que Google est également cité dans l'article

avatar Nesus | 

Bref l’iPhone consulte un base de données de site et effectivement, cette base pourrait théoriquement enregistrer une ip, mais comme ça ne peut être rattaché à rien...
Parce que bon des listes d’adresse ip, je sais en générer avec Excel.

avatar reborn | 

@Nesus

À être suspicieux pour rien les gens s’étonnent qu’un serveur web peut récupérer une adresse ip et que donc forcément ils sont en danger 🤷‍♂️

avatar Nesus | 

@reborn

C’est de la faute d’Apple, la prochaine fois, ils expliqueront le fonctionnement d’internet dans conditions d’utilisation nah !

avatar reborn | 

@Nesus

En vrai à vouloir être transparent sur cette évidence (la possibilité de cataloguer l’adresse ip) ils se sont foutu tous seul dans la merde.

Faut ce rendre compte que ce matin le truc c’était quand même: Apple envoie nos adresse IP en Chine.. 🤦‍♂️

Sous-entendu: Apple nous baise 🤯

avatar byte_order | 

@reborn

Y'a une nuance entre le serveur web que l'on visite qui peut, évidement, voir votre adresse IP et un service que l'on ne visite pas explicitement mais qui voit régulièrement *toutes les* adresses IP de *tous* les utilisateurs de Safari...

Etrangement, quand il s'agit des pubs qui font massivement pareil via Google Ads et que cela permet à ce dernier de capter les visites d'un grand nombre d'entre nous, là c'est le mal quasi absolu, mais quand c'est pas des pubs mais un mécanisme par défaut de Safari, truc d'Apple, qui le fait, alors là c'est normal, circulez, y'a rien à voir, rien à dire.

Tolérance à géométrie variable tellement classique.

avatar reborn | 

@byte_order

Quelle est donc cette nuance ?

Parce qu’il y en a un paquet des requêtes qui ne sont pas réalisé par l’utilisateur et qui pointent vers de serveur tiers comme les serveurs de Google par exemple.

Sauf que dans le cas de Google tu oublie de prendre en compte les cookies, le suivi inter-site etc..

avatar byte_order | 

@reborn
> Quelle est donc cette nuance ?

Un serveur web lambda ne verra les adresses IP *que* des appareils lui faisant un accès pour l'essentiel explicite (y'a certes tout ce qui est requêtes de tracking et autres pubs, mais cela peut être bloqué par les navigateurs web un minimum sérieux, ou extensibles).

Tandis qu'un même serveur régulièrement accédé par un même logiciel déployé sur des centaines de millions d'appareils, lui, verra régulièrement les adresses IP de *tous* ces appareils.
C'est une sacré nuance en terme d'échelle et de centralisation de l'information.

> Parce qu’il y en a un paquet des requêtes qui ne sont pas réalisé par l’utilisateur et
> qui pointent vers de serveur tiers comme les serveurs de Google par exemple.
> Sauf que dans le cas de Google tu oublie de prendre en compte les cookies,
> le suivi inter-site etc..

Oui.
Et elles sont justement dénoncées à ce même titre : c'est plus ou moins dissimulé à l'utilisateur final et c'est une collecte massive qui touche une majorité de gens sans qu'ils le sachent vraiment et centralisée par un seul acteur.

Je ne vois pas pourquoi une autre collecte massive qui touche une majorité de gens sans qu'ils le sachent vraiment et centralisée par un seul acteur ne devrait pas être dénoncé de la même manière ?

C'est quoi la différence ?!

- c'est débrayable ? La tracking par cookie et autres machineries aussi, suffit d'installer quelques extensions à votre navigateur web préférée. Ou avoir la possibilité d'en changer (oups...)
- C'est implémenté par Apple ?!

Qu'est-ce qui justifie une tolérance variable ?

avatar reborn | 

@byte_order

C'est une sacré nuance en terme d'échelle et de centralisation de l'information.

Mais ça reste la même chose..
dans tous les cas un serveur qui reçoit une requête voit aussi l’IP..

Est-ce qu’Apple fait quelque chose pour le tracking sur le web ?

Oui https://webkit.org/blog/8828/intelligent-tracking-prevention-2-2/

avatar byte_order | 

@reborn
> Mais ça reste la même chose..

Pas du tout, non.

Le serveur de mon-site-quasi-inconnu.net ne va pas par miracle voir l'adresse IP de tous les propriétaires d'iphones régulièrement, seulement celles des propriétaires d'iphones qui visitent mon-site-quasi-inconnu.net.
Même les serveurs de facebook.com ne verront pas régulièrement l'adresse IP de tous les propriétaires d'iPhones, parce que tous les propriétaires d'iphones n'ont pas tous un compte FB.

Par contre, un service chez Google et chez Tencent, lui, voit bien régulièrement _toutes_ les adresses IP des propriétaires d'iphones qui utilisent Safari (ou une app qui utilise le moteur web de Safari), et ça c'est probablement la quasi totalité des propriétaires d'iPhones.

> Est-ce qu’Apple fait quelque chose pour le tracking sur le web ?
> Oui https://webkit.org/blog/8828/intelligent-tracking-prevention-2-2/

Safari n'étant pas le seul navigateur permettant de bloquer le tracking sur le web, je vois pas en quoi cela *compense* le fait que ce navigateur, par contre, contacte régulièrement un service central qui peut ainsi collecter massivement des informations personnelles (adresses IP, mais aussi le user agent, et donc la version de iOS, de Safari...).

avatar reborn | 

@byte_order

Le serveur de mon-site-quasi-inconnu.net ne va pas par miracle voir l'adresse IP de tous les propriétaires d'iphones régulièrement, seulement celles des propriétaires d'iphones qui visitent mon-site-quasi-inconnu.net.

Logique.

Et tu veux en venir où en fait ?

Une visite sur un site web c’est quoi ? Une requête http
Quand l’iPhone contacte un serveur pour en récupérer des infos anti phishing c’est quoi ?

Une requête http.

Et donc ? Le problème ?

Ça n’a rien à avoir avec les GAFA et le consentement sur la vie privée, là tu remet en cause le fonctionnement des protocoles internet et tu fais volontairement une différence entre visite web avec navigateur et requête http en arrière plan par l’OS 🤷‍♂️

Sauf qu’il n’y a aucune raison de faire une différence entre ces deux manière de réaliser une requête. Ce sont des requetes http dans les 2 cas qui transmettent les même info dans les 2 cas.

avatar byte_order | 

@reborn

Ah, bon, donc désormais, une requête http en arrière plan par l'OS, c'est bon, c'est pas une menace pour la protection des données personnelles ?
Donc quand Windows ou Android envoie des données personnelles en tâche de fond, c'est quoi le problème ?

Le nom de l'entreprise ?

Un malware qui envoie l'adresse IP de la machine par une requête HTTP en tâche de fond, c'est bon aussi ?

Continuez de nier qu'entre pouvoir collecter les adresses IP de tous les appareils iOS et pouvoir collecter les adresses IP des seuls appareils iOS qui visitent votre serveur, y'a aucune différence. C'est bien, le déni, c'est réconfortant. Perso, je m'en fout, je n'utilise jamais ni iOS ni Safari.

avatar reborn | 

@byte_order

Ton OS à un moment donné fait une requête http en arriere plan pour récupérer des mises à jour ou autre chose.

Il n’a pas besoin d’ouvrir la fenêtre d’un navigateur pour ça.

avatar reborn | 

@byte_order

C'est implémenté par Apple ?!

Je répète: oui avec ITP

je vois pas en quoi cela compense le fait que ce navigateur, par contre, contacte régulièrement un service central qui peut ainsi collecter massivement des informations personnelles (adresses IP, mais aussi le user agent, et donc la version de iOS, de Safari...).

Alors celle là elle est en or..

Tu bataille contre les spécifications même des protocoles internet ça n’a aucun sens.

Oui l’adresse ip est transmise systématiquement au serveur si il y a communication entre les deux et c’est absolument normal.

Pas besoin de serveur centralisé (faut arrêter de faire peur les gens..)

L’adresse IP a beau être personnelle elle est loggué pour des raisons légales dans pas mal de cas de toute manière. Genre sur macg pour identifier les auteurs des commentaires par exemple si la loi l’exige.

Pour s’en protéger —> VPN (quelle surprise... 😌)

Ce que tu décrit c’est le fonctionnement de toute communication entre un client et un serveur rien d’extraordinaire, pas d’aspiration généraliser des données privée etc..

Messieurs dames ce site peut voir votre adresse IP (tous les serveurs web en fait):

https://www.doileak.com

Attention vous êtes en danger votre adresse IP personnelle a fuité !!!! 😱😱😱😱

Tout ça pour ça, je te laisse là 🙋‍♂️

avatar byte_order | 

Ce site ne verra pas l'adresse IP des terminaux iOS qui n'iront jamais sur cet URL.
Par contre, le serveur antiphishing de Google ou de Tencent, si.

Mais j'arrête, vous tournez en rond pour éviter de voir cette différence, probablement parce que cela vous arrange de penser que c'est normal qu'un service, qui n'a rien d'altruiste, soit aussi central à tout navigation préalable de Safari vers les sites web voulus par l'utilisateur réel.

Vous ne voyez (ou ne voulez voir) que le fait qu'il soit central, c'est justement ça qui pose problème, en campant sur le fait qu'il collecte l'adresse IP comme n'importe quel autre site, alors qu'il reçoit des requetes de tous les utilisateurs de Safari, pas uniquement des utilisateurs voulant visiter leur site web.

Même les requêtes DNS provenant d'un appareil ne sont pas aussi centralisées.

avatar byte_order | 

@Nesus
Entre générer avec Excel une adresse IP et voir toutes les adresses IP effectives via l'accès régulier à un tiers centralisé, y'a une nuance.

Et si vous croyez que ces adresses IP ne peuvent être rattachées à rien, vous n'avez rien compris au problème. Une adresse IP est considéré comme donnée personnelle par la CNIL, l'UE, pour rappel, et c'est pas par hasard, et surement pas parce que cela ne peux être rattaché à rien comme vous le dites, bien au contraire.

Cela peut très facilement être rattaché à l'usage d'un VPN jusqu'ici considéré comme non prioritaire à bloquer par exemple, cela peut être rattaché à votre fournisseur d'accès à Internet, qui lui, sur injonction, peut y rattacher bien d'autres données encore plus personnelles, dont votre adresse physique.

avatar reborn | 

@byte_order

Dans ce cas il faut arrêter de surfer sur internet car les sites peuvent voir notre IP..

avatar Krysten2001 | 

@reborn

Ou prendre un VPN

avatar byte_order | 

@reborn

Non, un site web lambda.net ne peut pas voir régulièrement *toutes* les adresses IP de *tous* les propriétaires d'un appareil d'un type particulier, non, c'est faux d'affirmer cela.

avatar reborn | 

@byte_order

Ah et il voit quoi alors quand un appareil lui envoi une requête ?

EDIT: tu veux dire qu’un site ne voit pas l’IP de l’appareil d’un utilisateur qui ne lui a jamais envoyé de requête ? C’est un peu normal non ?

avatar byte_order | 

@reborn

Jamais vous ne regardez mon usage des * * autour des mots pour voir les mots les plus importants !?

Toutes les adresses IP de tous les propriétaires d'iphones qui surfent sur le web sont collectées par un serveur central.

Aucun serveur web lambda ne peut faire cela, parce qu'il ne peut pas imposer sa visite à *tous* les utilisateurs sous iOS, contrairement au logiciel Safari qui impose régulièrement de visiter le serveur central anti-phishing de Google ou de Tencent.

Faites donc un serveur web, même avec du gros référencement, et voyez si vous allez arriver à collecter, juste ainsi, en étant un serveur web visitable, *toutes* les adresses IP de *tous* les utilisateurs de Safari, y compris ceux qui ne visiteront pas votre site web.

avatar Nesus | 

@byte_order

Oui, alors dans ce cas commencé par râler sur Valls qui a fait passer une loi qui stipule que toutes vos actions doivent être enregistrées et sauvegardées. Et sur demande données aux forces de l’ordre.
Toutefois, ici nous ne parlons pas de cela. Nous parlons d’un catalogue d’ip. J’ai eu le même du temps où j’avais mon site web. C’était très joli et très sympa, par contre en dehors du fait que j’avais des nombres sur un écran, je ne pouvais rien en faire (à ma part des statistiques de connexion).

avatar byte_order | 

@Nesus

1) Pas toutes les actions, non. Ce qui doit est conservé, et uniquement par les opérateurs d'accès à Internet (Google et Tencent, ce sont des FAIs depuis quand !?), c'est l'adresse IP et l'horaire d'affectation à tel abonné. Et l'accès aux autres données personnelles n'est possible que par une autorité légale.

2) A contrario, toute entreprise qui collecterait des données personnelles, *dont* l'adresse IP fait partie, sans autorisation préalable à la CNIL (et c'est à peu près pareil au niveau de l'UE depuis la RGPD) et sans possibilité de s'y opposé est en infraction.

3) votre site n'a jamais collecté l'ensemble des adresses IP d'un parc de plusieurs centaines de millions de Safari. Google et Tencent, si. Que, vous, vous n'ayez pas su voir quoi en faire n'empêche pas que d'avoir une liste assez à jour des terminaux iOS récemment vu, sous quelle version de iOS et de Safari, rien que pour l'exploitation de failles zero day, cela n'est pas sans intérêt.

Et évidement, si en plus vous êtes une autorité qui pouvez croiser cette liste avec les données personnelles via la participation obligatoire des fournisseurs d'accès à Internet, VPN compris, comme peut l'avoir le gouvernement chinois, cela peut aller bien plus loin.

Par exemple, comment cibler les iphones dont les adresses IP sont liées à telle zone géographie où une ethnie particulière est mise sous surveillance avancée.

avatar Krysten2001 | 

Donc Google ne peut pas savoir ce qu’on visite comme site web, merci

avatar Achylle_ | 

J’ai bien fais de prendre un VPN ce WE moi...
a ce propos, je vous conseille ProtonVPN, une vraie tuerie !

avatar Krysten2001 | 

@Achylle_

Ou NordVPN :)

avatar reborn | 

@Depret Lucas

Nord est top, il marche bien avec Netflix chez moi

avatar ForzaDesmo | 

@Achylle_ @Depret Lucas @reborn

Choisir un VPN, c'est comme choisir un ordinateur. Dire qu'il est top ne sert à rien si derrière vous ne dites pas pour quelle fonction vous l'utilisez et par rapport à quoi il est Top par rapport aux autres. Comme toujours cela dépend de ce que l'on cherche dans un VPN là en l'occurence.

Mais bon c'est quand même toujours intéressant de voir ce qui est populaire, j'ai ainsi pu voir que ProtonVPN avait un peu évolué mais bon j'aimerai savoir pourquoi il est une vraie tuerie par rapport aux autres.

avatar Krysten2001 | 

@ForzaDesmo

Moi j’ai choisit NordVPN ou tout simplement un VPN, pour mes données, que mon opérateur ne voit pas ce que je fais ( rien d’inégal) car ça ne regarde que moi, plus de cookies,... Netflix oui aussi des jeux. NordVPN ne conserve pas de log de connexion et aucune données. Et d’autres choses aussi

avatar ForzaDesmo | 

@Depret Lucas

Merci pour ton retour d'utilisateur. 😉

avatar Krysten2001 | 

@ForzaDesmo

De rien c’est normal :)

avatar reborn | 

@ForzaDesmo

Heureusement que j’ai précisé il marche bien avec Netflix

Sous entendu pour contourner les blocages geographique 🤷‍♂️

avatar Moonwalker | 

MacGeneration revend votre IP aux Chinois du F.B.I.

Pages

CONNEXION UTILISATEUR