La firme russe Elcomsoft, spécialisée en sécurité informatique, a découvert que iCloud était bien trop gourmand, et cela, à l’insu des utilisateurs. Les historiques d’appels sont systématiquement synchronisés, même sans autorisation.
C’est une enquête menée par Elcomsoft (PDF disponible ici) qui accable le service Apple iCloud : En observant attentivement leurs terminaux de test et les données envoyées via le réseau, les experts de l’entreprise ont en effet noté que le service se permettait de transférer tous les journaux d’appel de l’utilisateur sur les serveurs d’Apple, y compris lorsque la synchronisation est désactivée sur le terminal.
Rappelons le principe de iCloud : il s’agit du cloud Apple servant à sauvegarder et synchroniser les données utilisateurs de toutes sortes. Cela évite toute perte de données et permet la récupération depuis d’autres appareils Apple sans connexion directe. Pratique certes, mais Elcomsoft pointe du doigt des faiblesses.
En effet, après analyse des données transférées par plusieurs téléphones sous iOS, les experts de l’entreprise basée à Moscou ont découvert que le service envoyait vers les serveurs de la firme à la pomme toutes les données en lien avec les appels. Historiques des appels du téléphone, détails des appels via WhatsApp, Skype ou n’importe quelle application de VoIP basée sur le kit de développement CallKit. Le transfert de ces données privées s’effectue même lorsque la synchronisation iCloud est désactivée !
Vladimir Katalov, le patron de l’entreprise Elcomsoft, annonce une astuce permettant de stopper totalement le transfert. Il faudrait désactiver le service iCloud Drive. Mais voila, cela va impacter le fonctionnement de l’ensemble des applications l’exploitant… Si vous êtes concerné par cette affaire, sachez que l’historique conservé par Apple peut remonter sur 4 mois en moyenne. Elcomsoft avait déjà découvert des faiblesses dans l’implémentation du chiffrement des sauvegardes sous iOS 10.
Apple s’est empressé de publier un communiqué pour s’expliquer sur cette découverte et a déclaré que cette fonction était en réalité ” une commodité pour les utilisateurs afin de pouvoir rappeler un correspondant depuis n’importe quel appareil “. Sauf que cela aurait du être fait avec l’accord des utilisateurs et pas en silence derrière leur dos ! Qui va croire à cette explication bien légère ? En tout cas, Apple a été bien discret sur cette “fonctionnalité”, pouvant permettre à n’importe quel état / autorité de demander une copie de l’ensemble de ces données.