Publié le 8 févr. 2019 à 9:31 Mis à jour le 8 févr. 2019 à 13:23

Un peu plus d'une semaine après la faille découverte sur son application Facetime , Apple est empêtré dans une nouvelle affaire de confidentialité. Selon une enquête du site TechCrunch, de nombreuses applications populaires sur iOS enregistrent secrètement l'écran de leurs utilisateurs.

Abercrombie & Fitch, Hotels.com, Singapore Airlines, Expedia… toutes ces applications ont en commun de pratiquer le « session replay », une technologie qui permet en quelque sorte de rejouer le parcours d'un visiteur sur une application. Cette relecture peut inclure ce que voit l'utilisateur sur l'application, comment il interagit avec, mais aussi l'ensemble de ses saisies (boutons et claviers).

Lire aussi : Apple sanctionne Facebook pour avoir acheté les données de ses jeunes utilisateurs

Selon TechCrunch, les applications passent généralement par une société tierce pour obtenir le code permettant d'enregistrer l'activité mobile de l'utilisateur à des fins d'analyse. Le média pointe notamment du doigt la société d'analyse israélienne Glassbox, qui se vantait dans un tweet récent de pouvoir consulter en temps réel l'action des utilisateurs.

Données confidentielles dans la nature

Ayant scruté les conditions générales d'utilisations des applications en question, TechCrunch note qu'aucune d'entre elles n'avertit les utilisateurs de ce type de pratiques. Censé aider à améliorer l'expérience client, le « session replay » s'avère hautement problématique dans certains cas.

Un expert en téléphonie mobile interrogé par TechCrunch révèle ainsi que l'application Air Canada ne masquait pas correctement les captures d'écrans envoyées vers ses serveurs. Les données enregistrées (numéro de passeport, carte de crédit) sont pourtant sensibles.

Lire aussi : Entre Apple et Facebook, la rivalité tourne à la guerre ouverte

Selon l'expert, les employés de la compagnie aérienne, et toute personne capable d'accéder à la base de données, peuvent visualiser ce type d'informations. Pas très rassurant, alors qu'Air Canada compte 1,7 million d'utilisateurs de son application et a récemment été victime d'une faille de sécurité compromettant 20.000 profils…

Apple pose un ultimatum

L'ensemble de ces pratiques est interdit par Apple, qui le stipule dans ses conditions d'utilisation. La firme californienne a d'ailleurs immédiatement réagi aux révélations. Un porte-parole a déclaré jeudi soir que les applications devaient demander un « consentement explicite de l'utilisateur » et fournir « une indication visuelle claire lors de l'enregistrement de l'activité de l'utilisateur ».

L'inventeur de l'iPhone a agité le spectre d'un déréférencement pour les applications en question. « Nous avons informé les développeurs que ceux-ci contrevenaient à ces conditions et directives de confidentialité stricte et prendrons des mesures immédiates si nécessaire », a ajouté le porte-parole d'Apple à TechCrunch.