Dans le contexte: Apple a conçu sa prochaine fonctionnalité de mode de verrouillage pour protéger les appareils contre les logiciels espions. Cependant, le responsable d’une startup de confidentialité pense que les sites Web peuvent facilement identifier qui utilise le mode de verrouillage, les exposant potentiellement malgré l’objectif de la fonctionnalité.
John Ozbay, directeur de la société de technologie de confidentialité Cryptee, Raconté Vice, il pense que le prochain mode de verrouillage d’Apple sera très sensible aux empreintes digitales des appareils. Ce défaut de conception de base pourrait peindre une cible sur les utilisateurs qui activent le mode pour éviter les méthodes de suivi comme les logiciels espions.
Le mode de verrouillage, qui viendra avec iOS 16, iPadOS 16 et macOS Ventura lors de leur lancement cet automne, est la réponse d’Apple aux logiciels espions de développeurs tels que NSO Group et RCS Labs. Les deux organisations ont créé des logiciels espions que les gouvernements ont utilisés pour suivre les diplomates, les politiciens, les journalistes et les militants.
Apple a conçu le mode de verrouillage afin que les utilisateurs puissent temporairement sécuriser leurs appareils en limitant de nombreuses fonctionnalités de mise en réseau. Lorsqu’il est activé, il désactive certaines fonctionnalités des navigateurs Web et de l’application Messages qui pourraient être des vecteurs de logiciels espions et d’autres types de logiciels malveillants. Il bloquera également les appels FaceTime provenant de nouveaux numéros, désactivera les connexions filaires, restreindra la gestion des appareils mobiles et déploiera d’autres protections.
Avec cette preuve de concept, mon objectif était d’entamer une conversation sur le sujet des compromis sécurité/confidentialité et sur ce que l’activation du LM pourrait signifier pour les utilisateurs à risque. Peut-être que tout le monde sera d’accord avec ce compromis, mais j’ai pensé qu’il était important d’avoir cette conversation en premier
— johnozbay (@johnozbay) 25 août 2022
Cependant, l’absence de ces fonctionnalités spécifiques pourrait indiquer aux sites Web qu’un visiteur utilise le mode de verrouillage. Certains sites et publicités utilisent les empreintes digitales pour identifier et suivre les appareils sans cookies en analysant une combinaison de caractéristiques : adresses IP, polices installées, agents utilisateurs, résolution d’écran, plugins ou quelles fonctionnalités les utilisateurs ont désengagées.
Ozbay a testé avec succès sa théorie en créant un site Web capable de détecter si un appareil a activé le mode de verrouillage, ce qui, selon lui, a pris cinq minutes à Cryptee. Si un site Web obtient l’adresse IP d’un utilisateur et sait qu’il utilise le mode de verrouillage, cela pourrait attirer l’attention sur ceux qui prennent des mesures supplémentaires pour protéger leur vie privée.
Apple a déclaré à Ozbay que le mode de verrouillage désactive les polices Web, ce qui supprime un détail par lequel les sites Web peuvent empreintes digitales des appareils. On ne sait pas actuellement quelles autres mesures la fonctionnalité à venir prendra pour lutter contre les empreintes digitales.
Le chercheur en sécurité Ryan Stortz espère qu’un grand nombre d’utilisateurs activeront le mode verrouillage, ce qui rendra les cibles individuelles plus difficiles à identifier en les mélangeant dans une foule.