Le téléphone d’Apple ainsi que l’iPad enregistrent en permanence la position de leur utilisateur. Celle-ci est stockée dans une base de données de l’appareil, ainsi que dans l’ordinateur à chaque synchronisation.
Voilà la réaction d’un journaliste de la rédaction après avoir installé et lancé le logiciel iPhone Tracker : « Flippant !» En quelques secondes, il a en effet pu voir sur une carte tous les déplacements qu’il a effectués depuis presque unan: vacances d’été dans le Sud-Ouest, voyages au Québec et aux Etats-Unis, périples dans Paris… iPhone Tracker lui a présenté sous forme graphique le moindre de ses mouvements.
Comme son nom l’indique, iPhone Tracker récupère et met en scène les informations de localisation contenues dans un drôle de fichier, consolidated.db, présent dans tous les iPhone –ainsi que les iPad– tournant aveciOS4. On le retrouve aussi sur tous les ordinateurs de possesseurs d’iPhone, car il est copié, sous une autre forme, à chaque fois que l’on fait une sauvegarde des données par iTunes. Encore mieux: il survit à votre appareil. Si vous changez d’iPhone, l’ancien consolidated.db est conservé et transféré sur votre nouveau mobile!
Consolidated.db est une base de données sur laquelle votre iPhone enregistre précautionneusement, et en permanence, toutes les informations liées à votre position. Les données sur le relais mobile auquel vous êtes connecté, mais aussi votre latitude, longitude, altitude, votre vitesse et on en passe. A votre insu, votre iPhone conserve ainsi une trace de tous vos déplacements.
Un an de déplacements en France d'un journaliste de 01Net, à partir du moment où il a installé iOS 4.
Mais à quoi servent ces informations ?
A quoi sert ce fichier? On ne sait pas. On a appris son existence grâce à des chercheurs en sécurité qui, lors de la conférence Where2.0, qui a lieu jusqu’à demain à Santa Clara, aux Etats-Unis, ont révélé les résultats d’une étude montrant ses dangers. Pete Warden, un ancien d’Apple, et Alasdair Allan ont par la même occasion lancé leur iPhone Tracker, qui va fouiller dans les fichiers de sauvegarde de votre ordinateur pour retrouver ces informations indiscrètes. Mais Ils ne sont pas les premiers à parler de consolidated.db, qui avait déjà été décortiqué auparavant.
Les chercheurs tentent une explication sur la FAQ d’iPhone Tracker: «Difficile de savoir pourquoi Apple collecte toutes ces informations. Il se pourrait qu’ils aient de nouvelles fonctions en tête qui requièrent l’usage de votre géolocalisation, mais c’est de la pure spéculation. Mais le fait qu’elles soient transférées entre appareils quand vous restaurez ou changez [d’appareil, NDLR] montre que la collection de données n’est pas accidentelle. » Ils précisent également qu’il n’existe aucune preuve laissant à penser que ces informations sont diffusées au-delà des différents mobiles et de l’ordinateur de l’utilisateur. Ouf !
Pas de système d’opt-in comme sur Latitude
Il n’empêche que cette fonction secrète soulève tout de même de nombreuses questions. D’abord, ce n’est pas un système «opt-in». Contrairement à GoogleLatitude –qui est au fond assez similaire– consolidated.db s’enrichit de votre position, que vous le souhaitiez ou non. D’autre part, et c’est plus problématique, ce fichier n’est pas crypté: il est ainsi lisible par quiconque ayant accès à votre téléphone ou à une machine avec laquelle vous l’avez synchronisé!
Apple n’a pour l’instant pas réagi à la découverte de cette «fonction», qui rouvre le débat sur le droit à la vie privée des utilisateurs de smartphones et, au-delà, présente un risque de fuite de données personnelles. Pour s’en protéger, Alasdair Allan et Pete Warden conseillent de crypter les sauvegardes d’iPhone que vous effectuez (1): cela n’empêchera pas l’iPhone de jouer au mouchard, mais interdira à des yeux indiscrets d’aller consulter la liste de tous vos déplacements.
(1) Pour effectuer une sauvegarde cryptée de votre iPhone, ouvrez iTunes avec votre iPhone connecté et rendez-vous dans l’onglet Résumé. Dans la liste des options, cliquez “Chiffrer la sauvegarde” et sélectionnez un mot de passe.
Pour essayer sur PC
iPhoneTracker n’est disponible que sur Mac, mais il est aussi possible de lire le fichier sans ce logiciel, si vous disposez d’un iPhone «jailbreaké ». Nous avons essayé la manipulation disponible sur le blog de Paul Courbis, elle fonctionne parfaitement. Nous nous sommes d’abord servis du logiciel iFile pour retrouver le fichier dans l’arborescence de l’iPhone, puis avons lancé son serveur Web. Nous avons pu ainsi récupérer consolidated.db sur notre ordinateur. Nous avons ensuite soumis le fichier à la moulinette mise en place par Paul Courbis et avons pu découvrir toutes les positions récentes de l’iPhone sur Google Maps.
