Dire où l'on se trouve en permanence via son smartphone, c'est simple comme bonjour : on peut le déclamer à qui ça intéresse (indice : personne) via les versions mobiles des réseaux sociaux type Facebook ou Twitter, ou check-iner comme un fou sur les appli spécifiques de géolocalisation comme Foursquare. Mais il y a un autre moyen, d'autant plus simple qu'il est automatique : avoir un iPhone et permettre sans le savoir à Apple de pister nos moindres déplacements.
La découverte est signée Alasdair Allan et Pete Warden, deux spécialistes qui l'ont annoncé aujourd'hui à la conférence Where 2.0 après l'avoir explicité sur le site Radar . Leur trouvaille peut être résumée ainsi : les iPhone et iPad 3G fonctionnant sous le système d'exploitation iOS4 (disponible depuis juin 2010) enregistrent régulièrement la localisation des produits dans un fichier caché, dont le contenu est restauré à chaque sauvegarde ou migration d'appareil.
Concrètement, d'après Radar, les localisations sont stockées dans un fichier appelé consolidated.db, avec coordonnées géographiques évoluant en fonction de la date d'enregistrement. La chose n'est pas toujours archi précise, triangulation oblige, mais un test auprès des collègues de Liberation.fr montre le genre de données ainsi enregistrées :
Un logiciel baptisé iPhone Tracker est disponible pour lire à son tour ce genre de traces. En mouvement (soit en faisant évoluer la chronologie), ça donne ça :
Radar précise qu'à ce stade, rien ne prouve que ces données puissent échapper au contrôle de l'utilisateur (comprendre : être envoyées via le Net à des serveurs cachés contrôlés par de maléfiques Big Brother en puissance suivant la moindre de nos traces). De même, l'existence même de ce type d'informations n'est pas en soi une nouvelle : les opérateurs téléphoniques en disposent et peuvent les transmettre aux autorités dans certaines circonstances (enquêtes, etc.), mais uniquement sur demande en bonne et due forme (mandat, par exemple). Le problème ici soulevé est que le fichier en question n'est pas du tout chiffré, donc facilement accessible en cas de vol ou d'emprunt de téléphone, par exemple. Des fonctionnalités permises par l'iOS4, comme la classification automatiques des photos prises par l'iPhone en fonction du lieu de la prise de vue (cf capture à droite), peuvent éventuellement constituer une piste d'explication quant à la présence d'un tel fichier dans le téléphone.
Parmi les pistes suggérées par Radar pour éviter ce genre de désagrément, on peut citer l'option «Encrypt iPhone Backup» accessibles via les paramètres d'iTunes une fois l'appareil connecté à l'ordinateur. Alasdair Allan et Pete Warden expliquent en détail leur trouvaille dans la vidéo ci-dessous (en anglais, 20 minutes) :
Pour la petite histoire, Peter Warden a travaillé durant cinq ans pour Apple (mais jamais directement sur l'avancée de l'iPhone), avant de quitter l'entreprise «en bons termes» il y a trois ans. Sur la page permettant de télécharger iPhone Tracker, qu'ils ont conçus eux-même, les deux geeks semblent presque déçus de leur découverte : «on est tous les deux de grands fans des produits Apple, et on ne prend vraiment aucun plaisir à mettre en avant ce problème» .
[MISE A JOUR, 21/04/2011] Les réactions n'ont pas tardé, d'un sénateur américain qui demande qu'Apple s'explique en passant par une lettre ouverte à Steve Jobs de l'association Privacy International militant pour le respect de la vie privée. Mais l'intervention la plus intéressante vient d'Alex Levinson, chercheur spécialisé en sécurité informatique qui a découvert l'existence du fichier non chiffré depuis déjà plusieurs mois ! Son très instructif billet confirme notre piste de réflexion sur l'utilité d'un tel fichier, notamment dans l'usage de la localisation des photographies prises via les appareils Apple. Et dégonfle plus ou moins la polémique soulevée, même si l'aspect «caché» n'en reste pas moins problématique...