Le service en ligne collecte les adresses de destinataires d'e-mails envoyés depuis Mail sur iOS et macOS, sans prévenir les utilisateurs. Cette synchronisation permet à Apple de suggérer des contacts récents via Mail, sur smartphone, ordinateur ou sur le web, sans permettre de les consulter ou de les supprimer en masse.
Parmi les géants du numérique, Apple est l'un des rares à se prévaloir d'un grand respect des données personnelles de ses clients. Pourtant, il n'est pas exempt de reproches. Samedi 26 mai, le chercheur en sécurité Sabri Haddouche nous a révélé que l'application Mail pour iOS collecte les adresses e-mail de destinataires de courriels, sans contrôle de l'utilisateur.
Avec lui, nous avons constaté la rétention des adresses ayant reçu des messages d'un compte professionnel de Next INpact via Mail sur iOS, entre octobre 2015 et septembre 2017. L'horodatage (timestamp) de certains échanges est également fourni. Les contacts fréquemment associés le sont également ici. À aucun moment, nous n'avons soupçonné que ces informations aient pu sortir de l'iPhone.
Selon nos expérimentations, les adresses sont envoyées aux serveurs d'iCloud, quelle que soit la boîte mail. L'interrupteur « Mail » d'iCloud n'a pas d'effet sur cette transmission, activée par défaut et d'abord invisible pour l'utilisateur.
Pourquoi une telle collecte ? Les données alimentent les suggestions de contacts « récents » d'Apple Mail, à la fois sur iOS, sur macOS et sur iCloud.com. Cette liste est déconnectée des contacts iCloud classiques, et difficile à supprimer. Un handicap se pose d'ailleurs pour les utilisateurs de l'application Mail sans adresse @icloud.com.
Une collecte peu détaillée par Apple
« J'avais déjà remarqué ce comportement, mais n'y ai pas plus prêté attention jusqu'ici. Avec l'entrée en application du RGPD, j'ai eu envie d'y revenir. Un ami m'a d'abord confirmé ce comportement » nous déclare Sabri Haddouche de Wire. En décembre, il avait révélé Mailsploit, une collection de bugs d'affichage facilitant le phishing sur la plupart des clients mail (voir notre entretien).
Dans un billet de blog, publié le 29 mai, il relève que les premiers enregistrements sur son compte datent de 2012. Le site iDownloadBlog relevait ce comportement dès avril 2014. Les paramètres activant cette synchronisation ne sont pas certains.
Surtout, ces contacts n'apparaissent nullement dans l'application Contacts sur iOS ou sur iCloud. Ces suggestions sont aussi associées au compte Apple, non à une boite e-mail en particulier. Ainsi, huit mois après l'abandon de Mail pour une boite professionnelle, la réinstallation de l'application et l'ajout d'une adresse personnelle fournit la liste complète des contacts professionnels synchronisés.
Dans sa documentation, Apple déclare seulement ceci : « Mail conserve une trace des adresses e-mail auxquelles vous envoyez un message, et utilise ces destinataires récents pour suggérer ou compléter les adresses pour vous lorsque vous envoyez un nouvel e-mail ».
L'envoi automatique, sans demande explicite
Nos essais, étalés entre le 26 et le 31 mai, reposent sur une méthode au principe simple. Créer un compte iCloud vierge associé à une adresse e-mail tierce (Gmail, Outlook...) et le lier à un appareil iOS ou macOS. Sans adresse @icloud.com, iCloud interdit la synchronisation de « Mail »... le canal légitime pour une éventuelle synchronisation des contacts récents.
Sur iOS 11.3, 11.4 et macOS 10.13.4, voici la démarche suivie :
- Créer un compte Apple ID avec une adresse e-mail tierce
- L'associer à un iPhone ou Mac
- Envoyer plusieurs e-mails avec une boîte e-mail quelconque via l'application Mail
- Éteindre l'iPhone ou le Mac, pour s'assurer qu'il ne puisse plus rien communiquer
- S'identifier sur la version web d'iCloud.com et demander, via les outils pour développeurs (API), les éventuels contacts présents. Le serveur renvoie une simple erreur, aucun contact
- Créer une adresse e-mail @icloud.com sur un second appareil
- Revenir sur iCloud.com et vérifier l'éventuelle présence des adresses des destinataires du premier appareil
Résultat : l'application Mail (iOS ou macOS) envoie les adresses des correspondants à Apple, sans que l'option « Mail » d'iCloud ait besoin d'être activée. L'API d'iCloud renvoie une erreur (500), au lieu des contacts en sa possession, tant qu'une adresse e-mail @icloud.com n'est pas créée. Par contre, une fois celle-ci en place, l'API livre la liste complète des adresses e-mail contactées, enfin visible. Le comportement est le même sur les trois systèmes testés.
Pour vérifier la collecte de ces adresses, le plus simple est de se rendre sur iCloud.com, puis sur la page « Mail » et de créer un nouveau message. Il suffit d'entrer les deux premières lettres d'un contact pour vérifier s'il est présent ou non. Une adresse @icloud.com est nécessaire pour cette méthode.
Une suppression manuelle, adresse par adresse
Pour supprimer ces adresses, la méthode officielle consiste à effacer un à un les contacts depuis les suggestions de la version web d'iCloud. Avec des centaines d'adresses potentiellement enregistrées, l'affaire peut s'apparenter à un marathon.
Même si la fonction semble dater de cinq ans, la page de support expliquant l'effacement de ces entrées serait bien plus récente. Elle est datée du 30 mars dernier en anglais, et du 6 avril en français, sans que la Wayback Machine ne puisse remonter plus loin. Soit moins de deux mois avant l'application du Règlement général sur la protection des données (RGPD).
Techniquement, la liste complète est aisément récupérable à partir d'iCloud.com. En s'ouvrant, la fenêtre de composition d'un nouveau message charge l'ensemble des adresses concernées. Il suffit donc de surveiller l'activité du navigateur à la saisie de caractères (activant les suggestions), puis de trouver la bonne variable pour l'exporter en JSON en une commande. Il est aussi possible d'exporter la liste en mimant l'appel au serveur effectué par la page web.
Attention, dans tous les cas, il est nécessaire d'être identifié sur le site, potentiellement via la double authentification. Les risques de fuite de ces données sont donc très faibles.
Pour consulter et supprimer ces suggestions, Sabri Haddouche fournit un script « iRemember » à exécuter dans la console Développeur d'un navigateur. Elle est accessible via un clic droit sur une page web d'iCloud.com, sous « Examiner cet élément » sur Firefox et « Inspecter » sous Chrome.
Dommage qu'elle ne puisse pas être consultée depuis toutes les versions iOS et web de Mail.
Plus de 150 adresses récupérées
Cet effacement ne semble pas se répercuter systématiquement sur les terminaux iOS. Hier, nous avons supprimé (via « iRemember ») l'ensemble des suggestions de contacts, puis déconnecté et reconnecté un iPhone au compte iCloud. En quelques secondes, près d'un tiers des suggestions effacées étaient réapparues en ligne, vraisemblablement depuis l'historique local de l'iPhone.
Tout n'est pourtant pas secret. Le 26 mai, nous avons demandé une copie de nos données personnelles à Apple, via l'outil mis en place pour le RGPD. Nous avons reçu notre accès le 31 mai et, effectivement, la liste est bien fournie par le groupe. Elle contient plus de 150 adresses glanées en deux ans via plusieurs boites, dont une professionnelle.
L'ensemble est fourni dans l'archive « Autres données », puis « Apple Features Using iCloud » et « Mail » au sein du fichier Recents.xml. Cet emplacement dans « Autres données », soit hors de l'archive « Mail », confirme que la synchronisation des contacts récents ne dépend pas de l'interrupteur Mail.
Plusieurs reproches sont possibles ici. Le principal est l'envoi des contacts récents vers les serveurs d'Apple sans demande explicite à l'utilisateur. À moins de disposer d'une adresse e-mail @icloud.com, il est tout simplement invisible. Le groupe pourrait, au moins, fournir partout une liste aisément consultable et éditable. Voire un bouton de purge de cette liste, décorrélée des contacts classiques.
Pour rappel, le RGPD, entré en application le 25 mai, demande un consentement libre et éclairé à tout traitement ou collecte qui n'est pas nécessaire à l'exécution du service ou à une obligation légale. Notons aussi que, dans nos colonnes, la gendarmerie avait classé Apple parmi ceux fournissant le plus facilement les métadonnées aux autorités. Même s'il n'est pas certain que ces contacts récents aient déjà été partagés.
Dans un e-mail le 29 mai, nous avons demandé à Apple si elle a bien cessé cette pratique, ou compte le faire, si elle songe à prévenir explicitement les utilisateurs et s'il existe un moyen de supprimer simplement ces données par lot. Aucune réponse ne nous est parvenue pour le moment.