je te l'ai dit hier qu'Apple introduira de nouvelles mesures de sécurité dans iOS après Le Congrès américain a demandé des explicationset sur la façon dont les applications accèdent aux données du carnet de contacts de nos iPhones. Eh bien, le problème du carnet de contacts est minime car les développeurs d'applications Peut accéder presque tout depuis nos terminaux sans que nous le sachions. En pratique, les applications peuvent enregistrer des conversations, prendre des photos/films et accéder à presque n'importe quel type de données de notre iDevice sans que nous le sachions à moins d'avoir le terminal en main et de détecter l'enregistrement d'une photo avec flash, par exemple. Le problème est qu'Apple donne accès aux développeurs à ces fonctions via son SDK et les applications peuvent transmettre les données enregistrées aux serveurs des développeurs sans que personne d'autre ne le sache.
- Les applications ne peuvent espionner et avaler vos informations que lorsqu'elles sont ouvertes. Le simple fait d’installer une application ne permet pas que cela se produise.
- Évidemment, la plupart des développeurs n’envisageraient jamais de faire quelque chose comme ça, et la plupart des entreprises n’essaieraient jamais de le faire non plus, car la nouvelle les détruirait immédiatement. Cependant, il existe de nombreux développeurs et il est simple d'accéder à la plate-forme de développement d'Apple.
- Des applications comme Path ont été interrompues parce qu'elles transmettaient des données via SSL, mais en leur accordant un faux certificat SSL (NDLR : merci au commentateur), le développeur a en fait pu surveiller les données au fur et à mesure de leur transmission. Cependant, si les données sont cryptées sans SSL, les experts en sécurité et Apple ne peuvent pas vraiment voir ce qui est transféré en toute sécurité, il est donc plus difficile de dénicher les applications malveillantes.
- Ce n'est pas spécifiquement un problème iOS. N'importe quelle application de bureau peut aspirer des données et les envoyer à un serveur éloigné (y compris le courrier électronique). Android gère cela un peu différemment : si une application souhaite accéder aux contacts, elle demande l'autorisation lors de l'installation. La plupart des gens ne regardent pas cela, mais il incombe à l'utilisateur d'approuver l'accès. Il s’agit donc d’une protection de nom seulement.
Bien qu'il y ait de grosses failles de sécurité dans iOS, il y a quand même quelques bons côtés car les applications ne peuvent absolument rien faire à moins qu'elles ne soient ouvertes, pas seulement en arrière-plan et pas seulement laissées dans Springboard. On ne sait pas combien d'applications de l'App Store enregistrent et envoient des données aux serveurs des développeurs à notre insu, mais il faudra de gros scandales pour qu'Apple en restreigne l'accès. De mon point de vue, nous devrions avoir la possibilité de décider si nous voulons donner à une application la possibilité d'accéder à certaines données de nos terminaux et qu'on nous demande l'autorisation pour que tout type de données des terminaux soit envoyé aux serveurs du développeurs d'applications.
La plupart des développeurs utilisent des méthodes non cryptées pour envoyer des données à leurs propres serveurs, ce qui permet de découvrir très facilement les applications « pirates ». Ceux qui chiffrent leurs données avant de les envoyer aux serveurs protègent les informations et ni nous ni Apple ne pouvons savoir ce qui est transmis à moins que les développeurs ne fournissent des informations supplémentaires. Fondamentalement, ce sont les applications les plus dangereuses car les informations qu’elles envoient ne peuvent pas être surveillées et vérifiées.
