Vidéo: OS X 10.10 Yosemite & iOS 8 : Handoff (Novembre 2024)
Comme toujours, la conférence mondiale des développeurs d’Apple regorge de nouvelles fonctionnalités et technologies. Mais ces mêmes fonctionnalités intéressantes posent de nombreuses questions sur la confidentialité des utilisateurs et la sécurité des données. Nous en déballons quelques-uns ici à Security Watch .
Apple a dévoilé cette semaine une longue liste de nouvelles fonctionnalités et technologies pour ses systèmes d'exploitation OS X Yosemite et iOS 8 au WWDC. L’accent mis sur la continuité, ou l’intégration transparente entre les utilisateurs d’OS X et iOS, peut poser problème aux entreprises et aux utilisateurs, a suggéré Richard Henderson, stratège en matière de sécurité chez FortiGuard Threat Research and Response Labs de Fortinet.
Henderson a signalé la phrase suivante du discours principal de la WWDC: "Il s'avère maintenant que lorsque vous travaillez sur votre Mac, les périphériques qui vous entourent… se connaissent et savent ce que vous faites." Cette phrase "devrait rendre la plupart des utilisateurs soucieux de la sécurité très inquiets", a déclaré Henderson.
Des collègues, des enfants ou des proches avec des appareils iOS "autour de vous" peuvent-ils voir ce que vous faites? demanda Henderson. "Les possibilités de surveillance silencieuse existent si tel est le cas."
Par conséquent, même s'il est tentant de supposer qu'Apple a intégré la sécurité dans ces nouvelles fonctionnalités, réfléchissez d'abord aux implications en matière de sécurité et de confidentialité. Un certain scepticisme en matière de sécurité est nécessaire pour quiconque envisage de participer au programme public de version bêta.
La continuité, c'est bien, mais où vont mes données?
Handoff, la fonctionnalité qui permet aux utilisateurs de commencer à travailler sur quelque chose sur l'iPad et à reprendre exactement où ils l'ont laissée sur le Mac, pourrait s'avérer être la meilleure chose à faire dans l'écosystème d'Apple depuis les débuts originaux de l'iPhone. Même si votre appareil iOS n'est plus un îlot, il est toutefois intéressant de savoir comment Apple transmettrait les informations entre les ordinateurs.
Peut-être que la fonctionnalité serait limitée aux machines connectées sur le même réseau. Sinon, il semble raisonnable de supposer que les informations de transfert sont stockées temporairement dans iCloud Drive, a déclaré Henderson. Cette hypothèse soulève toute une série d'autres questions, telles que la manière dont les données sont transmises, si Apple chiffre les données stockées sur les serveurs iCloud et si Apple peut être obligée de transmettre des informations en cas de lettre de sécurité nationale ou de décision judiciaire..
Le scénario idéal serait qu'Apple utilise le cryptage de bout en bout pour Handoff, car les appareils pourraient générer les clés privée et publique lors de la première configuration, a déclaré Henderson. "Peu importe que les périphériques soient locaux ou non. Chiffrez simplement ces données à l'aide de votre clé publique, envoyez-les aux serveurs de iCloud Drive, et votre autre périphérique les récupérera et les déchiffrera à l'aide de la clé privée créée précédemment. clé ", at-il dit.
Hotspots sans mot de passe peuvent être abusés
Apple a rendu Instant Hotspot encore plus simple pour les utilisateurs d'iOS 8 souhaitant partager des connexions Internet. Cliquez sur l'appareil, et le tour est joué! Connexion Internet. "(Y) vous ne tapez jamais un mot de passe, et vous êtes sur le réseau aussi facilement", selon Apple.
Mais peut-être que le processus est trop facile, avertit Henderson. Si Instant Hotspot fonctionne même si le téléphone est "assis dans un sac à main de l'autre côté de la pièce", cela pourrait poser problème aux utilisateurs se trouvant dans une zone publique telle qu'un aéroport ou un café, a-t-il déclaré. D'une part, quiconque peut voir et se connecter au téléphone peut finir par voler de la bande passante. D'autre part, mettre tout cela derrière le compte iCloud pour des raisons de sécurité signifie que seuls les périphériques authentifiés avec iCloud et Apple peuvent tirer parti de la fonctionnalité de point d'accès. Ce n'est pas tout à fait comme cela que les gens utilisent généralement les hotspots.
"Connaissant Apple, il sera incroyablement facile de configurer cela pour des utilisateurs moins" expérimentés ", ce qui signifie que les abus potentiels pourraient exister", a déclaré Henderson. "Il faudra un autre moyen (comme l'actuelle fonctionnalité iOS Mobile Hotspot) pour configurer un hotspot que vous voudrez peut-être que d'autres personnes utilisent."
Données de santé et confidentialité
HealthKit et Health.app sont "peut-être l'annonce la plus importante du point de vue de la protection de la vie privée", a déclaré Henderson, soulignant que les données contenues dans les suivis d'activité tels que Fitbit, les applications surveillant la fréquence cardiaque, la pression artérielle et la glycémie, et les balances "intelligentes" déjà collectées beaucoup de données. "HIPAA et d'autres législations sur les données relatives aux soins de santé peuvent être un véritable bourbier… Comment Apple protège-t-elle spécifiquement vos informations?" Il a demandé.
L’écran d’identité d’urgence de la santé auquel on peut accéder à partir de lockscreen peut potentiellement sauver la vie, mais il peut aussi être utilisé de manière abusive. "Qu'est-ce qui empêche quelqu'un de prendre votre téléphone et de déterminer quels médicaments vous prenez? Pensez aux implications pour la vie privée d'une personne souffrant d'une maladie chronique grave comme le VIH / SIDA, le cancer, le diabète ou toute autre maladie grave que vous pourriez rencontrer. Je ne veux pas que les autres sachent ", a déclaré Henderson.
Qui a les données Spotlight?
Pleins feux sur OS X Yosemite et iOS 8 vont récupérer des données provenant de diverses sources, telles que Wikipedia, Cartes, des critiques Yelp et des articles de presse. Les utilisateurs doivent se demander où les données Spotlight sont stockées, que ce soit localement ou sur des serveurs iCloud, afin que d'autres appareils puissent accéder aux données. Si Apple crée des profils d'activité client similaires à ceux de Google, il convient de demander aux utilisateurs de demander à Apple de supprimer ce profil lorsqu'ils quittent l'écosystème Apple.
"Les récents casse-tête juridiques de Google dans l'Union européenne impliquant des citoyens européens et le" droit à être oublié "devraient constituer un présage pour Apple et les autres sociétés qui exercent des activités commerciales dans l'Union européenne", a déclaré Henderson.
Il convient également de noter la manière dont Apple présente les requêtes de recherche Spotlight à des sites tiers. "Bien que ces informations ne semblent pas très confidentielles, des tiers collectent des données auprès de nombreuses sources et les comparent pour créer des profils d'utilisateurs complets", a averti Henderson.
Consultez la liste complète
Henderson a présenté une longue liste de questions de sécurité, abordant la nouvelle fonctionnalité de balisage dans Mail.app, les SMS et la messagerie texte, le HomeKit, le partage de la famille et bien plus encore. Cela vaut la peine de consulter l'intégralité du message sur le blog de Fortinet.
"Au crédit d'Apple, ils ont parcouru un long chemin en matière de sécurité, du moins lorsqu'il s'agit de fournir plus d'informations aux gens", a déclaré Henderson. "J'espère qu'Apple a donné à la sécurité une place primordiale dans le développement de tous ces nouveaux outils et fonctionnalités."
