Sécurité

Le PDG d’Apple, Tim Cook, fustige le gouvernement et les entreprises privées pour la confidentialité des utilisateurs d’exploitation à ciel ouvert

Tim Cook a été honoré cette semaine lors du dîner Champions of Freedom de l’Electronic Privacy Information Center (EPIC), où il a parlé avec force de la nécessité d’améliorer la confidentialité des utilisateurs et a critiqué les entreprises rivales de la Silicon Valley pour ne pas l’avoir protégée. Il s’agit d’un thème relativement nouveau pour Apple – la société a obtenu une note abyssale de l’EFF dans son rapport sur la confidentialité de 2013, pour inverser cette note d’échec avec six étoiles sur six dans l’édition 2014.

Cook a visé des entreprises comme Facebook et Google — les entreprises, en d’autres termes, qui s’appuient sur les activités de consommation de data mining pour générer leurs profits. Selon lui, une telle aspiration généralisée d’informations personnelles est erronée et contraire au type d’entreprise Pomme veut être. « Nous pensons que vous ne devriez jamais avoir à l’échanger contre un service que vous pensez être gratuit, mais dont le coût est en réalité très élevé. Cela est particulièrement vrai maintenant que nous stockons des données sur notre santé, nos finances et nos maisons sur nos appareils », a poursuivi Cook, devenant encore plus explicite lorsqu’il s’agit de la confidentialité des utilisateurs.

« Nous pensons que le client doit contrôler ses propres informations. Vous aimerez peut-être ces soi-disant services gratuits, mais nous ne pensons pas qu’ils valent la peine d’avoir votre e-mail, votre historique de recherche et maintenant même vos données de photos de famille extraites et vendues à des fins publicitaires. Et nous pensons qu’un jour, les clients verront cela pour ce que c’est.

Cook a ensuite discuté du cryptage, réitérant le support d’Apple pour le cryptage personnel. La société s’est attirée les foudres d’éminents politiciens et responsables de l’application des lois lorsqu’elle a commencé à chiffrer les iPhones et iPads avec iOS 8. Le chiffrement du système d’exploitation est suffisamment avancé. Apple affirme qu’il ne peut pas déchiffrer les appareils pour la police, même s’il le voulait. Les photos, les messages, les contacts, les rappels et l’historique des appels sont tous verrouillés. Si quelqu’un n’a pas le mot de passe de votre appareil Apple, il ne peut théoriquement pas y accéder. (De toute évidence, aucun système de cryptage n’est parfait, et certains hacks de preuve de concept qui empêchent l’appareil de s’effacer après dix tentatives de clé de passe incorrectes ont déjà été démontrés.) Malgré cela, il est clair Tim Cook Est-ce que mettre l’accent sur l’utilisateur intimité et se passionne pour le cryptage.

Dans son discours, Cook a fait écho aux mêmes points qui ont été soulevés par les chercheurs en sécurité et les défenseurs de la vie privée du monde entier. Les portes dérobées et autres méthodes de compromission des systèmes cryptographiques ne peuvent être créées sans affaiblir la sécurité des systèmes qu’elles sont censées protéger. Même dans un monde où chaque écoute électronique gouvernementale était justifiée à 100% et où aucun agent fédéral ou agent local d’application de la loi n’a jamais abusé de sa position, les informations de la porte dérobée seraient inévitablement divulguées ou découvertes.

Thorïn

Les portes dérobées magiques qui ne s’ouvrent pour la bonne clé qu’un jour de l’année appartiennent aux histoires d’elfes et de dragons

Je crois que Cook veut vraiment protéger les droits des utilisateurs et les défendre contre une intrusion gouvernementale injustifiée. Mais son discours l’a exprimé en termes typiques d’entreprise : Facebook et Google mauvais, Apple bon ! Apple ne vend pas (à notre connaissance) les données des utilisateurs directement comme Google ou FB, mais l’argument sur la quantité d’activité d’un utilisateur à monétiser ou non est la pointe du problème, pas la somme totale du débat. L’adage « Si vous ne payez pas pour le produit, vous sommes le produit » s’effondre si l’on considère (par exemple) qu’Apple a des partenaires tiers dont le travail consiste à écoutez ce que les gens disent à Siri et Cortana, analysez les instructions et enregistrez les données. Cela ne rend pas les services de reconnaissance vocale mauvais, mais vos données et la façon dont vous utilisez votre appareil sont découpées et envoyées à des tiers, que ces canaux soient activement monétisés ou non.

Ce dont nous ne parlons pas lorsque nous parlons de la vie privée des utilisateurs

Il y a un problème avec la confidentialité des utilisateurs, la collecte de données et la façon dont ces données sont broyées et vendues à diverses sociétés que Tim Cook ne semble pas avoir abordées. Le langage que nous utilisons pour discuter ces sujets ne sont pas seulement formulés en termes d’avocats et souvent présentés dans des déclarations de termes et conditions qui s’étendent sur plus de 600 pages et nécessitent une heure d’analyse minutieuse – ils sont conçus pour permettre aux entreprises de signifier des choses très différentes avec une formulation pratiquement identique.

Psssssst :  Nouvelle fuite de détails sur une faille de sécurité qui a conduit OpenBSD à désactiver l'hyper-threading

L’accord légal d’Apple pour iOS 8.1 note, par exemple, que « Apple et ses partenaires, licenciés et développeurs tiers peuvent fournir certains services via votre appareil iOS qui reposent sur des informations de localisation. Pour fournir et améliorer ces services, le cas échéant, Apple et ses partenaires… peuvent transmettre, collecter, conserver, traiter et utiliser vos données de localisation, y compris la localisation géographique en temps réel de votre appareil iOS.

C’est un langage contractuel assez standard et je suis certain que Facebook, Google et toute autre entreprise qui fournit un service de cartographie ou de localisation en temps réel contient le même verbiage. C’est en fait le problème. Ce qu’Apple veut dire lorsqu’il parle de « partenaires, licenciés et développeurs tiers » peut être entièrement différent de ce que Google, Facebook, Microsoft ou Amazon veulent dire lorsqu’ils utilisent le même langage. Si Apple et Google promettent tous deux d’anonymiser les données avant de les partager, cette promesse ne signifie pas que les données sont effectivement anonymisées, ni même selon la même norme. (Dans cet exemple, nous ignorons le fait que les données anonymisées peuvent être facilement anonymisées, en particulier lorsqu’elles sont associées à des informations de localisation).

Cook n’est pas la première personne à dénoncer le fait que les utilisateurs ont tendance à ne pas prendre très au sérieux la confidentialité des données. Mais comme la plupart des dirigeants de la Silicon Valley, il ignore le rôle que sa propre entreprise a joué dans la création du problème en premier lieu. Apple vous encourage activement à vous inscrire à des comptes cloud, à un identifiant Apple et à son propre GameCenter. Votre identité n’est pas quelque chose que vous êtes censé protéger – c’est une passerelle vers l’utilisation de produits et de services, le partage d’idées et l’exploitation des écosystèmes.

Psssssst :  Windows 8 s'annonce comme le système d'exploitation de bureau et mobile le plus sécurisé - High-teK.ca

Nouveau iCloud

Il existe, bien sûr, de nombreuses raisons de créer des comptes auprès de diverses entreprises, et de nombreuses fonctionnalités utiles offertes par lesdites entreprises seraient impossibles sans une forme de compte personnel authentifié. Du point de vue de la sécurité, cependant, chacun de ces comptes représente une faille dans le système – un nom d’utilisateur commun (utile pour créer un profil de comportement en ligne), un mot de passe commun ou un moyen d’attaque. Les attaques très médiatisées contre iCloud et Filaire l’auteur Matt Honan d’il y a plusieurs années n’ont été possibles que parce que les pirates ont tiré parti des pratiques de sécurité d’Amazon et d’Apple contre l’autre, puis ont exploité une faiblesse entre les deux pour accéder aux comptes personnels de Honan.

Chaque compte que vous créez a un ensemble de termes et conditions. À de rares exceptions près, ils utilisent le même langage – des références à des « partenaires de confiance » par opposition à une liste indiquant exactement qui sont ces partenaires et quelles données sont déléguées à quels partenaires. Ils se réfèrent à des données anonymisées, mais ne divulguent pas exactement comment les données sont anonymisées. Ils se réservent le droit de partager des informations pour améliorer les produits et services, sans identifier explicitement si ces services sont dans le meilleur intérêt de l’utilisateur ou de l’entreprise. Ces problèmes ont été exacerbés à l’ère du business-to-business et du cloud, dans laquelle des entreprises dont vous n’avez jamais entendu parler, comme Acxiom, sont de vastes centres d’échange de données qui fournissent des informations back-end à des dizaines ou des centaines d’autres entreprises.

Psssssst :  Comment visualiser les cookies de suivi du comportement avec un add-on Firefox - High-teK.ca

La raison pour laquelle nous ne parlons pas ces problèmes, c’est parce que changer la façon dont les utilisateurs finaux abordent la confidentialité n’est pas dans l’intérêt des entreprises. Tim Cook peut sincèrement vouloir tenir à distance la surveillance gouvernementale et ne pas aimer les politiques publicitaires de Google, mais considère ses propres accords et relations avec des tiers comme des secrets commerciaux et est allé devant les tribunaux pour protéger leur vie privée. En fait, traiter la création de compte et la confidentialité des utilisateurs comme une affaire sérieuse de bout en bout nécessiterait une réinvention complète du langage et de la manière dont nous permettons aux gens d’accéder aux informations et de sécuriser leurs propres droits.

Comme je l’ai dit au début, ces problèmes plus importants ne sont pas de la faute de Tim Cook, et je respecte la position qu’il adopte sur le partage des données des utilisateurs et la protection des clients Apple contre les excès du gouvernement – mais il y a des causes sous la surface dont nous ne discutons tout simplement pas. Ils sont intériorisés. C’est le prix à payer pour faire des affaires. Les entreprises qui font faillite sont autorisées à tenir leurs promesses de protéger les données des consommateurs comme actifs négociables. Les entreprises qui violent les promesses de protéger les informations des utilisateurs sont frappé d’amendes administratives. À tous les niveaux, les consommateurs sont informés que la valeur de leurs informations est nulle et reçoivent très peu d’aide pour comprendre le sens du langage commun qui sous-tend la plupart des accords T&C. Faut-il alors s’étonner que les gens agissent comme si leurs données n’avaient pas d’importance ?

Bouton retour en haut de la page