Vie privée : Apple veut renforcer les mots de passe et clarifier les messages d’alerte

Anthony Nelzin-Santos |

« Confiance », voilà le maître-mot d’Apple. Face à Google, contre-exemple implicite, ou Facebook, cible de nombreuses piques pendant le keynote, Apple veut incarner un modèle d’utilisation raisonné des données privées. Un modèle qui ne peut fonctionner sans la participation active des développeurs, fortement incités, si ce n’est forcés, à suivre les recommandations de la firme de Cupertino.

Ce modèle repose sur quatre piliers :

  • la minimisation de la collecte des données : Apple utilise les techniques de confidentialité différentielle pour personnaliser les données de groupes d’utilisateurs semblables avant de collecter des données pour personnaliser les données d’individus ;
  • le traitement en local : les suggestions de recherche ou les « souvenirs » de Photos sont calculés en local plutôt que dans le nuage ;
  • la sécurité intégrée au matériel : avec la Secure Enclave, base de Touch ID et Face ID, notamment ;
  • la transparence et le contrôle : l’utilisateur doit consentir à la collecte de données personnelles et peut revenir sur sa décision.

Apple suit ces préceptes de manière stricte, jusqu’à l’excès, lorsqu’une application doit poser toute une série de questions au premier lancement. C’est la caractéristique la plus visible du modèle de gestion des données d’iOS et de macOS, qui assure que l’utilisateur est clairement informé et peut agir en conséquence.

Autrefois très génériques, les demandes d’accès au GPS ou au micro peuvent être accompagnées d’un message d’explication depuis quelques années. Dans les prochains mois, elles devront absolument l’être, et les développeurs sont invités à suivre les recommandations d’Apple en la matière. Les équipes de validation de l’App Store se réservent le droit de refuser toute application qui resterait trop vague.

De la même manière, Apple invite les développeurs à intégrer le Trousseau iCloud à leurs applications, en maniant la carotte mais en laissant planer le bâton. Dans macOS Mojave comme iOS 12, Safari sera capable de créer, enregistrer, et remplir automatiquement des mots de passe forts. Les mêmes fonctions seront offertes aux applications utilisant la nouvelle API Password Manager.

Avec la nouvelle API Password Manager, Safari peut automatiquement remplir les mots de passe… stockés dans un gestionnaire tiers, comme ici 1Password.

Le gestionnaire de mots de passe intégré au système n’est plus une sous-sous-rubrique très technique des réglages, mais une véritable interface de gestion, notamment capable d’avertir l’utilisateur qui réutilise trop souvent un même mot de passe. Elle reste encore bien cachée, mais on peut désormais l’ouvrir avec une formule du genre « Dis Siri, montre-moi mon mot de passe Netflix ».

Dernière amélioration : dans iOS 12, les codes de vérification envoyés par SMS seront automatiquement récupérés par le système, qui les proposera comme suggestion de remplissage automatique des formulaires. Bien sûr, toutes ces fonctions peuvent être débrayées, si vous préférez gérer vous-mêmes vos mots de passe.


avatar reborn | 

Issou la chancla n’approuve pas ☹️

avatar Lucas | 

Si on peut utiliser 1password « nativement » avec cette API partout, ce sera absolument génial !

avatar simnico971 | 

@Lu Canneberges

C'est ce que je crois avoir compris avec cette vidéo. Je vais probablement en profiter pour modifier la plupart de mes mots de passe ?

avatar fousfous | 

Les codes par sms c'est insupportable (et inutile), merci à Apple de nous simplifier la vie!

avatar C1rc3@0rc | 

fousfous

«Les codes par sms c'est insupportable (et inutile)»

C'est surtout dangereux et cela viole le principe d'anonymat est expose l'utilisateur inutilement.

Apple fait ici un retour en arriere aussi magistral que benefique, entendant enfin les annees de plaintes d'observateurs et utilisateurs: la philosophie d'origine d'Apple c
est de considérer l'utilisateur comme une personne intelligente mais qui n'est pas censée etre un informaticien professionel.
L'interaction devait alors reposer sur l'ergonomie et l'auto-documentation du systeme et applications. On voit ici un retour au systeme modal qui a fait la reputation de l'interface de MacOS a son origine... il etait temps.

Apres il y a des choses a dire sur certains points:
«la minimisation de la collecte des données : Apple utilise les techniques de confidentialité différentielle pour personnaliser les données de groupes d’utilisateurs semblables avant de collecter des données pour personnaliser les données d’individus ;
»

Collecter des donnees d'usage pour ameliorer l'usage, oui, a 100%. On ne peut pas demander a un aveugle de rendre plus lisible un texte...

Mais les donnees doivent etre collectées en etant anonyme des le depart, et pas anonymisées apres collecte et avant envoi.
Pour la simple raison qu'un processus d'anonymisation a posteriori sera toujours inversé a un moment donné.

De plus les données non encore anonymisées peuvent etre piratées ou etre expediées avant le moment d'anonymisation, a cause d'un bug.
Si la donnée est anonyme des sa collecte, ce risque n'existe pas

«le traitement en local : les suggestions de recherche ou les « souvenirs » de Photos sont calculés en local plutôt que dans le nuage ;»
Enfin, du bon sens.
Desencloudage en cours?
Prise de conscience de l'impossibilité de securiser le cloud comme nous sommes nombreux a le denoncer depuis des annees?
Prise de conscience de la surconsommation énergétique du a l'usage inutile du cloud?
Prise de conscience de l'importance de la machine qui ne doit pas devenir un netbook?

«la sécurité intégrée au matériel : avec la Secure Enclave, base de Touch ID et Face ID, notamment ;»
Notion tres discutable.
Si le materiel doit etre securisé, installer des securité materielle n'est pas forcement une bonne idee. On le voit avec la Secure Enclave, qui contient des failles et ne peut pas etre patché.

Quand a parler de securitee avec Fake ID... ?!

Par contre sécuriser les connectiques (comme le verrouillage de l'USB dans le lignthing) et acces reseau c'est enfin une bonne chose.

Rien que le fait de demander l'autorisation de montage d'une clef USB ou connexion d'un périphérique serait un énorme pas en avant.

« la transparence et le contrôle : l’utilisateur doit consentir à la collecte de données personnelles et peut revenir sur sa décision.
»

ENFIN!
Des années que nous sommes nombreux a réclamer cette fonction de sécurité de base.
Cela denote d'une reconnaissance d'erreur de stratégie et de méthode d'Apple mais surtout cela montre qu'enfin un peu de raison a atteint le niveau décisionnel qui avait oublié les fondamentaux d'Apple.

avatar reborn | 

@C1rc3@0rc

Enfin, du bon sens.
Desencloudage en cours.

Le traitement des photos et cie a toujours était fait en local..
Encore un 500 lignes de roman pour en arriver nul part.

Depuis 2011, Le cloud est le centre de l’écosystème, principe de Jobs: https://youtu.be/O_C1TZIT-qQ

La position sur la vie privé est toujours la même depuis des années. Elle s’est même bien améliorer depuis le debut de la décennie..

https://youtu.be/39iKLwlUqBo ?‍♂️

avatar ziggyspider | 

Les codes par SMS sont destinés à n'être utilisés qu'une fois. Ils ont une très courte validité.

avatar Rodri31 | 

Mais il y a des équipes de validation dans tous les pays ? Comment ça marche ? Les mecs sont payés à télécharger les appli pour voir si elles respectent les règles ? Ce serait bien un petit article sur ça ?

avatar fousfous | 

@Rodri31

Oui c'est exactement ça.

avatar fosterj | 

1password qui se félicite de ça c pas un peu comme Nokia qui se félicitait de l'arrivée de l'Iphone ? Je veux dire c aussi un peu les concurrencer non ?

avatar reborn | 

@fosterj

1password est multiplateforme etc.. (avantage) là ils ont les outils pour intégrer leur solution encore plus profondément dans iOS.

Le keychain d’Apple ne fonctionne que sous les plateformes Apple. Enfin je crois, et il y a aussi un outils dédié à safari.

avatar marenostrum | 

en tout cas 1password n'aura jamais comme clients les utilisateurs lambda de Apple. ils auront des utilisateurs avancés qui savent faire la différence et en sont plus renseignés sur les questions de sécurité.

pour ça ils peuvent dormir tranquilles. et ce n'est pas que le fait que 1password est multiplateforme qui fait la différence, mais aussi, que c'est mieux que les mots de passe soit stocké en dehors du système d'exploration qui peut tomber en panne à tout moment, ou être corrompu, piraté, etc, plus facilement (cette année Apple l'a montré à plusieurs reprises) que un éditeur tiers spécialisé dans le domaine pendant des années.

avatar reborn | 

@marenostrum

Et icloud keychain alors ?

avatar C1rc3@0rc | 

«Et icloud keychain alors ?»

C'est un peu ce qu'est le passe-partout par rapport a la cle securisé...
Le principe de base avec le cloud c'est de considérer que la donnée encloudée est publique!
Cette approche est confirmée par les scandales et piratages massif ayant touchés les fournisseurs de services internet -dont fait partie le cloud - et on a eu le summum avec le recent scandale Facebook. On peut aussi lire les CGU de fournisseurs comme Evernote pour comprendre que des lors que la donnée passe dans le cloud, on transfere implicitement ses droits a l'operateur...

Synchroniser ses mots de passe, références bancaire, etc en passant par le cloud est une aberration.
Dans la mesure du possible ce type d'information doit rester locale.

Par contre il est important que ces données soient exportables dans un format interopérable...

avatar reborn | 

@C1rc3@0rc

"Le principe de base avec le cloud c'est de considerer que la donnee encloudée est publique!"

Ah tient, le principe de base selon qui ? Selon toi ?

Le cloud peut être zero-knowledge

avatar reborn | 

@C1rc3@0rc

Tu parle de tout et de rien ?‍♂️

L’utilisateur a le choix pourquoi tu va chercher aussi loin pour en arriver nul part ?

1password, trousseau iCloud etc.. Ou rien !

Dans mon cas c’est rien.

avatar debione | 

J'arrive pas à saisir comment ils arrivent en pratiquant la confidentialité différentielle à restituer les mots de passe. Quelqu'un pour m'expliquer?

avatar Issou la chancla | 

"Apple veut renforcer les mots de passe et clarifier les messages d’alerte"

Ils vont surtout réussir à clarifier les mots de passe.
Ils ont deja réussi cette prouesse à 2 reprises sur High Sierra.

avatar C1rc3@0rc | 

@ Issou la chancla

«Ils vont surtout réussir à clarifier les mots de passe.
Ils ont deja réussi cette prouesse à 2 reprises sur High Sierra»
?
Bien vu!

avatar r e m y | 

@Issou la chancla

Oh! Ça c'est bas comme attaque... ?

avatar koko256 | 

Je n'ai toujours pas compris comment stocker un mot de passe depuis l'iPhone. Pour l'instant, le trousseau ne se remplir qu'à partir du Mac.

avatar vache folle | 

@koko256

Doit être activé dans iCloud sur tous les appareils.

Le trousseau, donc.

avatar marenostrum | 

Google et Facebook ont besoin de traiter les données sur leurs serveurs, parce que ne font que du logiciel (les appareils sont faite par d'autres boites). tandis que Apple vu qu'elle vend des appareils, traite les données sur les (leurs) appareils. c'est la même chose en fait, ils ont accès sur nos appareils (reliés tous dans un écosystème fermé) et récoltent les infos qui veulent. c'est du camouflage ce qu'ils disent.

avatar Bigdidou | 

@marenostrum

"ils ont accès sur nos appareils"

Tu penses sérieusement qu'Apple a accès aux mots de passe stockés sur ton appareil ? ?

avatar debione | 

Si la synchro iCloud est activée on peut le penser non?

avatar Bigdidou | 

@debione

"Si la synchro iCloud est activée on peut le penser non?"

Oui, bien sûr : tu peux aussi penser que les vénusiens t'ont placé une sonde anale.
En quoi l'activation d'iCloud donnerait accès à Apple au contenu de ton appareil ?
Ou alors tu veux dire qu'Apple a accès au contenu de tes sauvegardes iCloud ?
Pour mémoire, les mots de passe ne sont sauvegardés que si la sauvegarde est cryptée.

avatar marenostrum | 

suffit de voir l'histoire. les anglo-saxons qui faisaient le commerce au moyen orient en 19 siècle étaient tous sans exception, des agents de la Grande Bretagne. l'ouverture des archives l'a montré.

avatar Bigdidou | 

@marenostrum

"suffit de voir l'histoire. les anglo-saxons qui faisaient le commerce au moyen orient en 19 siècle étaient tous sans exception, des agents de la Grande Bretagne. l'ouverture des archives l'a montré. "

Un point pour toi.
Cela va incontestablement en faveur du contrôle de nos iPhone par Apple.

avatar debione | 

@Bigdidou:
T'es direct obligé de conduire comme un cuistre et me traiter comme le dernier des débile, sérieusement? T'as du sable dans le vagin c'est ça?

Je pose une question pertinente, tout ce qui rentre ou sort des tuyaux aux Us sont soumis au Patriot act. Ca on le sait.

Alors autre chose que du mépris? Ou tu vas formuler quelque chose de correct?

avatar Bigdidou | 

@debione

"Je pose une question pertinente"

Tu vas encore te fâcher et me trouver du sable dans d'autres endroits inquiétants, mais le Patriot Act n'est pas un dispositif technique permettant de s'infiltrer dans ton iPhone ou de décrypter des données chiffrées de bout en bout, dont toi seul a la clé.
Quelqu'un ici, dans ce forum bien informé, qui explique ou insinue qu'Apple a les clés pour décrypter tes données est un troll jusqu'à preuve du contraire, désolé.

Après, libre à toi de penser qu'Apple racconte n'imoorte quoi et que tous les spécialistes en sécurité qui se sont évidemment penchés sur la question sont aveugles et incompétents, comme tu es libre de penser que Cartman... Enfin, bref.

Pour conclure, ton utilisation d'un organe féminin comme ce que tu penses manifestement la dernière des insultes est, disons, symptomatique d'un certain état d'esprit que je t'abandonne volontiers.
Et je te présente toute mes excuses pour ma référence à South Park.
C'est manifestement déjà trop de culture, et ça en devient insultant.
C'est vraiment trop injuste.

avatar debione | 

@Bigdidou
Parce que tu crois que " sable dans le vagin" ca ne vient pas de South Park???? deuxième ou troisième saison il me semble... ( comment on peut oublier une réplique pareille)

Tu aurais mieux fait de te taire, j'ai une culture que tu ignores apparement....

Et relis le patriot act avant de venir causer, je possède une culture que tu ignores, je me méfierais je serais toi... juste histoire que tu arrêtes de passer pour ce que tu n'est sans doute pas.

avatar Bigdidou | 

@debione

"Et relis le patriot act avant de venir causer"
Patriot act ou pas, il n'existe aucun moyen pour décrypter tes documents iCloud autre que la force brute. Libre aux autorités de se faire communiquer des documents dans certaines condition, mais pas les clés qu'Apple ne possède pas.

"Tu aurais mieux fait de te taire, j'ai une culture que tu ignores apparement...."
Ah, sur ce coup là, tout à fait, joli retournement. Du coup, je ne comprends pas pourquoi tu as aussi mal pris ma blagounette, mais ta réponse était en fait super bien vue. Je n'avais aucun désir d'être blessant, et je ne m'attendais pas à un psychodrame... Désolé pour la maladresse, vraiment.

avatar C1rc3@0rc | 

@Bigdidou

Apres les revelations de Snowden, les demonstrations massives de piratages de choses qui n'auraient jamais du etre aussi peu securisé, les operateurs, fournisseurs qui ne chiffraient pas les donnees utilisateurs alors qu'ils etaient censés le faire, les revelations des exactions de Facebook et Cie, les atteintes aux droits democratiques fondementaux decretés ces dernieres annees par les administrations etatiques, l'existence de textes legaux scelerat comme le Patriot Act ou l'equivalent français,...

je pense que la naiveté et la croyance dans la bienveillance du politique et du commercial est dangereuse. Sans verser dans la paranoia il faut etre realiste et se placer dans une position ou l'on attend des preuves et des engagements (impliquant un vraie punition exemplaire et signifiante s'il y a violation) en terme de securité et respect des droits de la personnes (donnees privées, consentement explicite, information complete,...)

Marenostrum et Debione ici ne font pas dans la paranoia ou la theorie du complot, ils s'appuient sur des faits.

avatar Bigdidou | 

@C1rc3@0rc

"Marenostrum et Debione ici ne font pas dans la paranoia ou la theorie du complot, ils s'appuient sur des faits. "

Je ne comprends rien à,ce que tu dis et il est ici question des mots de passe.
Le fait est que Apple affirme qu'il n'existe aucune porte dérobée et qu'elle ne peut accéder aux données du trousseau, c'est à dire à nos mots de passe, et que rien ne démontre le contraire, ni Snowden, ni personne.

"Marenostrum et Debione ici ne font pas dans la paranoia ou la theorie du complot"

Tous les éléments y sont pourtant, comme dans ta réponse, d'ailleurs.

avatar reborn | 

@C1rc3@0rc

Si en tant que end user l’on ne peut prouver le vrai, c’est que c’est probablement des mensonges de la part d’Apple

Voila, j’ai résumé ton roman en 3 lignes

avatar xDave | 

@debione

Tu es libre de penser ce que tu veux,. ça n'en fait pas une vérité forcément.

avatar debione | 

Oui, le patriot act est vue de la pensée... Un truc qui n'existe pas...

Dites les gars, avant de causer, vous l'avez lu le machin???
Sur que non, ce qui ne vous empêchent pas de venir clamer votre ignorance...

Sérieux prenez le temps et lisez ce que vous trouverez dessus... On est un peu plus loin que le juste: libre de penser...

Votre naïveté est confondante, et votre refus de lire ce machin aussi.

avatar vache folle | 

@marenostrum

Et ce sont 2 sociétés connues aussi pour leur discrétion, qui ne récoltent pas de données personnelles, et qui ne veulent que notre bonheur.

Si elles voulaient intégrer leur système de mot de passe dans les appareils, je suis convaincu qu’elles le pourraient (elles l’ont bien fait pour s’intégrer à iOS il y plusieurs années, non? Voir actualité). Elles ont juste la flemme de se mettre autour de la table, sans parler des précieuses données qu’elles ne récoleraient plus.

J’ai raccourci ma pensée un chouïa, mais j’ai, moi aussi, la flemme d’écrire +

avatar pagaupa | 

Dès qu'on émet un doute ici sur Apple et la vie privée, ça déclenche des insultes...
Qui peut penser qu'un smartphone ne sert pas de mouchard?
En tous cas, pas la police...

avatar xDave | 

@vache folle

Ce n'est pas le propos.
C'est d'émettre un doute systématiquement, de dire à quelqu'un qu'il ment à chaque fois qu'il dit quelque chose qui devient pénible.
Le minimum c'est de le prouver.

Heureusement que certains ici ne sont pas juges, les prisons seraient remplis d'innocents devant prouver leur bonne foi.

avatar Maliik | 

Avec l’affaire de saint bernardino (USA), Apple a clairement prouvée qu’aucune porte dérobée ou accès au clé de l’iPhone était possible.
Apple ne possède pas un double de tes clés!

Stop aux conneries merci !

avatar debione | 

Le patriot act n'est pas le même si tu es américain ou si tu ne l'es pas... (mais il faudrait l'avoir lu pour comprendre)
De plus le petit bidule qui permet via le lightning d'entrée dans n'importe quel iPhone aussi c'est sans doute une connerie marketing...
Et sans doute que si des hackers arrivent a commercialiser un truc comme cela, les autorités n'en possèdent pas, et Apple n'est pas au courant, et Apple n'a pas bouché cette faille, c'est dingue, pourquoi???

De même, je n'ai jamais entendu les autorités se plaindre de ne pas avoir accès à iCloud, c'est rigolo, sans doute parce que dans le cas de terroristes, iCloud ne serait d'aucune utilité?

La police fédérale en suisse a avouer payer 15k par iPhone qu'elle doit craquer, mais je pense que c'est des mytho...

avatar adixya | 

Allons bon c’est quoi le problème des codes par sms ?

CONNEXION UTILISATEUR