La nuit, votre iPhone cafte les points d’accès Wi-Fi à Apple

La nuit porte conseil 123
Marc Rees
L’iPhone est très bavard durant votre sommeil, indique dans un communiqué la CNIL. En avril dernier, Alasdair Allan et Pete Warden de chez O'Reilly Radar, révélaient que l’iPhone enregistrait les coordonnées des HotSpot Wi-Fi et des réseaux cellulaires autour de vous, stockées dans un fichier « consolidated.db ». « Cette base de données contenait la position des points d'accès WiFi et des stations de base GSM situés à proximité du parcours de l'utilisateur d'un iPhone pendant une période d'un an environ » rappelle la Commission qui à l’époque s’était saisie de ce dossier pour demander des explications à Apple.

géolocalisation CNIL points d'accès WIFI

Pour mettre à l'épreuve les affirmations rassurantes d'Apple, la Commission a mis sous surveillance un iPhone 3GS connecté en Wifi pour analyser et observer les données de géolocalisation transmises à Apple. « La confidentialité de ces communications est protégée par le protocole de chiffrement SSL/TLS et il a donc fallu mettre en place un dispositif d'interception particulier pour accéder à leur contenu ».

Cet examen montre le cheminement d’une requête en géolocalisation. Lorsqu’on lance Plan (Maps) ou Boussole, le téléphone questionne le serveur dédié d'Apple pour effectuer ensuite une triangulation. Une telle requête effectuée depuis les locaux de la CNIL a généré l’envoi de 405 points d’accès Wifi. Voilà le descriptif fait par la CNIL :
  • Le téléphone envoie à Apple une courte liste des quelques points d'accès WiFi qu'il a détectés à proximité. Ces points d'accès sont identifiés uniquement par leur adresse MAC, sans aucune autre information complémentaire (telle que la localisation, la force du signal ou le SSID).
  • Le serveur d'Apple répond avec une longue liste répertoriant la localisation de plusieurs centaines de points d'accès WiFi situés autour du téléphone, dans un rayon de 150 mètres environ. Chaque point d'accès est identifié par son adresse MAC associée à sa position géographique. Ces informations sont complétées par quelques données techniques.
Cependant, la CNIL a remarqué que la nuit, l’iPhone poursuivait ses bavardages avec les serveurs de géolocalisation. Cette fois tout seul, comme un grand, sans intervention humaine. Le téléphone communique EN FAIT avec les serveurs de géolocalisation d'Apple dès lors qu’il est allumé et connecté à un point d'accès WiFi.

Cet échange est simple : « l'iPhone envoie à Apple des informations sur les points d'accès WiFi qu'il a "vus" dans les heures ou les jours précédents. Ces points d'accès WiFi sont identifiés par leur adresse MAC associée à la force du signal mesuré et la position géographique (GPS) du téléphone au moment de la mesure (ainsi que d'autres données techniques complémentaires, à l'exclusion du SSID) ». Que trouve-t-on dans les paquets de données ? « Les requêtes observées contenaient un ou deux points géographiques associés chacun à un peu plus d'une dizaine de points d'accès WiFi détectés. C'est ainsi, semble-t-il, que les serveurs d'Apple enrichissent et mettent à jour leur base de données de géolocalisation WiFi, en mettant à contribution les utilisateurs d'iPhone pendant leur sommeil ».

La CNIL admet que le dispositif est original pour faciliter la géolocalisation des utilisateurs. Cependant, elle regrette que l’utilisateur ne soit pas informé de ce type de traitement, même s’il est anonymisé. « Les analyses réalisées par les experts de la CNIL indiquent que les communications entre l'iPhone et Apple ne contiennent pas d'identifiant unique ou autre information permettant d'identifier le téléphone. Ce choix technique, confirmé récemment dans un courrier par Apple, rend cette collecte en principe anonyme et élimine donc largement le risque de traçage des personnes. Néanmoins, Apple devrait informer clairement ses utilisateurs de ce type de traitement ». Les examens se poursuivent pour déterminer la conformité à la loi de 78 de ce traitement automatisé mené par Apple. D’autres systèmes dont Android font également l’objet d’analyses similaires, indique encore la CNIL.