Vie privée : Apple veut renforcer les mots de passe et clarifier les messages d’alerte

Anthony Nelzin-Santos |

« Confiance », voilà le maître-mot d’Apple. Face à Google, contre-exemple implicite, ou Facebook, cible de nombreuses piques pendant le keynote, Apple veut incarner un modèle d’utilisation raisonné des données privées. Un modèle qui ne peut fonctionner sans la participation active des développeurs, fortement incités, si ce n’est forcés, à suivre les recommandations de la firme de Cupertino.

Ce modèle repose sur quatre piliers :

  • la minimisation de la collecte des données : Apple utilise les techniques de confidentialité différentielle pour personnaliser les données de groupes d’utilisateurs semblables avant de collecter des données pour personnaliser les données d’individus ;
  • le traitement en local : les suggestions de recherche ou les « souvenirs » de Photos sont calculés en local plutôt que dans le nuage ;
  • la sécurité intégrée au matériel : avec la Secure Enclave, base de Touch ID et Face ID, notamment ;
  • la transparence et le contrôle : l’utilisateur doit consentir à la collecte de données personnelles et peut revenir sur sa décision.

Apple suit ces préceptes de manière stricte, jusqu’à l’excès, lorsqu’une application doit poser toute une série de questions au premier lancement. C’est la caractéristique la plus visible du modèle de gestion des données d’iOS et de macOS, qui assure que l’utilisateur est clairement informé et peut agir en conséquence.

Autrefois très génériques, les demandes d’accès au GPS ou au micro peuvent être accompagnées d’un message d’explication depuis quelques années. Dans les prochains mois, elles devront absolument l’être, et les développeurs sont invités à suivre les recommandations d’Apple en la matière. Les équipes de validation de l’App Store se réservent le droit de refuser toute application qui resterait trop vague.

De la même manière, Apple invite les développeurs à intégrer le Trousseau iCloud à leurs applications, en maniant la carotte mais en laissant planer le bâton. Dans macOS Mojave comme iOS 12, Safari sera capable de créer, enregistrer, et remplir automatiquement des mots de passe forts. Les mêmes fonctions seront offertes aux applications utilisant la nouvelle API Password Manager.

Avec la nouvelle API Password Manager, Safari peut automatiquement remplir les mots de passe… stockés dans un gestionnaire tiers, comme ici 1Password.

Le gestionnaire de mots de passe intégré au système n’est plus une sous-sous-rubrique très technique des réglages, mais une véritable interface de gestion, notamment capable d’avertir l’utilisateur qui réutilise trop souvent un même mot de passe. Elle reste encore bien cachée, mais on peut désormais l’ouvrir avec une formule du genre « Dis Siri, montre-moi mon mot de passe Netflix ».

Dernière amélioration : dans iOS 12, les codes de vérification envoyés par SMS seront automatiquement récupérés par le système, qui les proposera comme suggestion de remplissage automatique des formulaires. Bien sûr, toutes ces fonctions peuvent être débrayées, si vous préférez gérer vous-mêmes vos mots de passe.

avatar reborn | 

Issou la chancla n’approuve pas ☹️

avatar Lucas | 

Si on peut utiliser 1password « nativement » avec cette API partout, ce sera absolument génial !

avatar simnico971 | 

@Lu Canneberges

C'est ce que je crois avoir compris avec cette vidéo. Je vais probablement en profiter pour modifier la plupart de mes mots de passe ?

avatar fousfous | 

Les codes par sms c'est insupportable (et inutile), merci à Apple de nous simplifier la vie!

avatar C1rc3@0rc | 

fousfous

«Les codes par sms c'est insupportable (et inutile)»

C'est surtout dangereux et cela viole le principe d'anonymat est expose l'utilisateur inutilement.

Apple fait ici un retour en arriere aussi magistral que benefique, entendant enfin les annees de plaintes d'observateurs et utilisateurs: la philosophie d'origine d'Apple c
est de considérer l'utilisateur comme une personne intelligente mais qui n'est pas censée etre un informaticien professionel.
L'interaction devait alors reposer sur l'ergonomie et l'auto-documentation du systeme et applications. On voit ici un retour au systeme modal qui a fait la reputation de l'interface de MacOS a son origine... il etait temps.

Apres il y a des choses a dire sur certains points:
«la minimisation de la collecte des données : Apple utilise les techniques de confidentialité différentielle pour personnaliser les données de groupes d’utilisateurs semblables avant de collecter des données pour personnaliser les données d’individus ;
»

Collecter des donnees d'usage pour ameliorer l'usage, oui, a 100%. On ne peut pas demander a un aveugle de rendre plus lisible un texte...

Mais les donnees doivent etre collectées en etant anonyme des le depart, et pas anonymisées apres collecte et avant envoi.
Pour la simple raison qu'un processus d'anonymisation a posteriori sera toujours inversé a un moment donné.

De plus les données non encore anonymisées peuvent etre piratées ou etre expediées avant le moment d'anonymisation, a cause d'un bug.
Si la donnée est anonyme des sa collecte, ce risque n'existe pas

«le traitement en local : les suggestions de recherche ou les « souvenirs » de Photos sont calculés en local plutôt que dans le nuage ;»
Enfin, du bon sens.
Desencloudage en cours?
Prise de conscience de l'impossibilité de securiser le cloud comme nous sommes nombreux a le denoncer depuis des annees?
Prise de conscience de la surconsommation énergétique du a l'usage inutile du cloud?
Prise de conscience de l'importance de la machine qui ne doit pas devenir un netbook?

«la sécurité intégrée au matériel : avec la Secure Enclave, base de Touch ID et Face ID, notamment ;»
Notion tres discutable.
Si le materiel doit etre securisé, installer des securité materielle n'est pas forcement une bonne idee. On le voit avec la Secure Enclave, qui contient des failles et ne peut pas etre patché.

Quand a parler de securitee avec Fake ID... ?!

Par contre sécuriser les connectiques (comme le verrouillage de l'USB dans le lignthing) et acces reseau c'est enfin une bonne chose.

Rien que le fait de demander l'autorisation de montage d'une clef USB ou connexion d'un périphérique serait un énorme pas en avant.

« la transparence et le contrôle : l’utilisateur doit consentir à la collecte de données personnelles et peut revenir sur sa décision.
»

ENFIN!
Des années que nous sommes nombreux a réclamer cette fonction de sécurité de base.
Cela denote d'une reconnaissance d'erreur de stratégie et de méthode d'Apple mais surtout cela montre qu'enfin un peu de raison a atteint le niveau décisionnel qui avait oublié les fondamentaux d'Apple.

avatar reborn | 

@C1rc3@0rc

Enfin, du bon sens.
Desencloudage en cours.

Le traitement des photos et cie a toujours était fait en local..
Encore un 500 lignes de roman pour en arriver nul part.

Depuis 2011, Le cloud est le centre de l’écosystème, principe de Jobs: https://youtu.be/O_C1TZIT-qQ

La position sur la vie privé est toujours la même depuis des années. Elle s’est même bien améliorer depuis le debut de la décennie..

https://youtu.be/39iKLwlUqBo ?‍♂️

avatar ziggyspider | 

Les codes par SMS sont destinés à n'être utilisés qu'une fois. Ils ont une très courte validité.

avatar Rodri31 | 

Mais il y a des équipes de validation dans tous les pays ? Comment ça marche ? Les mecs sont payés à télécharger les appli pour voir si elles respectent les règles ? Ce serait bien un petit article sur ça ?

avatar fousfous | 

@Rodri31

Oui c'est exactement ça.

avatar fosterj | 

1password qui se félicite de ça c pas un peu comme Nokia qui se félicitait de l'arrivée de l'Iphone ? Je veux dire c aussi un peu les concurrencer non ?

avatar reborn | 

@fosterj

1password est multiplateforme etc.. (avantage) là ils ont les outils pour intégrer leur solution encore plus profondément dans iOS.

Le keychain d’Apple ne fonctionne que sous les plateformes Apple. Enfin je crois, et il y a aussi un outils dédié à safari.

avatar marenostrum | 

en tout cas 1password n'aura jamais comme clients les utilisateurs lambda de Apple. ils auront des utilisateurs avancés qui savent faire la différence et en sont plus renseignés sur les questions de sécurité.

pour ça ils peuvent dormir tranquilles. et ce n'est pas que le fait que 1password est multiplateforme qui fait la différence, mais aussi, que c'est mieux que les mots de passe soit stocké en dehors du système d'exploration qui peut tomber en panne à tout moment, ou être corrompu, piraté, etc, plus facilement (cette année Apple l'a montré à plusieurs reprises) que un éditeur tiers spécialisé dans le domaine pendant des années.

avatar reborn | 

@marenostrum

Et icloud keychain alors ?

avatar C1rc3@0rc | 

«Et icloud keychain alors ?»

C'est un peu ce qu'est le passe-partout par rapport a la cle securisé...
Le principe de base avec le cloud c'est de considérer que la donnée encloudée est publique!
Cette approche est confirmée par les scandales et piratages massif ayant touchés les fournisseurs de services internet -dont fait partie le cloud - et on a eu le summum avec le recent scandale Facebook. On peut aussi lire les CGU de fournisseurs comme Evernote pour comprendre que des lors que la donnée passe dans le cloud, on transfere implicitement ses droits a l'operateur...

Synchroniser ses mots de passe, références bancaire, etc en passant par le cloud est une aberration.
Dans la mesure du possible ce type d'information doit rester locale.

Par contre il est important que ces données soient exportables dans un format interopérable...

avatar reborn | 

@C1rc3@0rc

"Le principe de base avec le cloud c'est de considerer que la donnee encloudée est publique!"

Ah tient, le principe de base selon qui ? Selon toi ?

Le cloud peut être zero-knowledge

avatar reborn | 

@C1rc3@0rc

Tu parle de tout et de rien ?‍♂️

L’utilisateur a le choix pourquoi tu va chercher aussi loin pour en arriver nul part ?

1password, trousseau iCloud etc.. Ou rien !

Dans mon cas c’est rien.

avatar debione | 

J'arrive pas à saisir comment ils arrivent en pratiquant la confidentialité différentielle à restituer les mots de passe. Quelqu'un pour m'expliquer?

avatar Issou la chancla | 

"Apple veut renforcer les mots de passe et clarifier les messages d’alerte"

Ils vont surtout réussir à clarifier les mots de passe.
Ils ont deja réussi cette prouesse à 2 reprises sur High Sierra.

avatar C1rc3@0rc | 

@ Issou la chancla

«Ils vont surtout réussir à clarifier les mots de passe.
Ils ont deja réussi cette prouesse à 2 reprises sur High Sierra»
?
Bien vu!

avatar r e m y | 

@Issou la chancla

Oh! Ça c'est bas comme attaque... ?

avatar koko256 | 

Je n'ai toujours pas compris comment stocker un mot de passe depuis l'iPhone. Pour l'instant, le trousseau ne se remplir qu'à partir du Mac.

avatar vache folle | 

@koko256

Doit être activé dans iCloud sur tous les appareils.

Le trousseau, donc.

avatar marenostrum | 

Google et Facebook ont besoin de traiter les données sur leurs serveurs, parce que ne font que du logiciel (les appareils sont faite par d'autres boites). tandis que Apple vu qu'elle vend des appareils, traite les données sur les (leurs) appareils. c'est la même chose en fait, ils ont accès sur nos appareils (reliés tous dans un écosystème fermé) et récoltent les infos qui veulent. c'est du camouflage ce qu'ils disent.

avatar Bigdidou | 

@marenostrum

"ils ont accès sur nos appareils"

Tu penses sérieusement qu'Apple a accès aux mots de passe stockés sur ton appareil ? ?

avatar debione | 

Si la synchro iCloud est activée on peut le penser non?

Pages

CONNEXION UTILISATEUR