Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonLes développeurs Apple soumis à de nouvelles exigences API dans le but d'éliminer les empreintes digitales des utilisateurs
iOS 17 est actuellement en version bêta et devrait être déployé auprès du public dans environ un mois. Lorsque ce sera le cas, les développeurs Apple examineront de nouvelles restrictions sur l'utilisation de certaines API. Les API en question sont celles qui peuvent potentiellement être utilisées à mauvais escient pour la prise d'empreintes digitales des utilisateurs, un contournement courant des règles de confidentialité d'Apple régissant la collecte de données à des fins de publicité ciblée.
Les nouvelles règles s'appliqueront également aux nouvelles versions de tvOS, visionOS, watchOS et au prochain système d'exploitation Mac Sonoma. Les développeurs Apple qui souhaitent utiliser certaines API devront expliquer pourquoi elles sont nécessaires au fonctionnement du programme et restreindre les applications à les utiliser uniquement pour cette fonction déclarée.
Le programme « App Tracking Transparency » (ATT) d'Apple a été entièrement déployé avec la sortie d'iOS 14.5 mi-2021, obligeant les développeurs à divulguer toute collecte d'informations personnelles à des fins de publicité ciblée et à obtenir le consentement affirmatif de l'utilisateur lors de l'installation ou des mises à jour de l'application. Si les utilisateurs ne s'inscrivent pas, les développeurs d'applications n'ont pas accès à l'identifiant unique de l'appareil qui facilite la publicité personnalisée. Cela a eu un impact immédiat et dramatique sur les revenus publicitaires, et certains des développeurs Apple les moins scrupuleux ont opté pour la prise d'empreintes digitales des utilisateurs comme alternative (bien que cela soit également rendu illégal en vertu des règles du TCA).
Bien que les empreintes digitales des utilisateurs ne soient pas autorisées (et peuvent entraîner l'interdiction des développeurs Apple s'elles sont détectées), elles sont néanmoins souvent utilisées car elles peuvent être très difficiles à détecter. Apple tente de résoudre le problème au niveau de l'API avec ses nouvelles exigences. Les développeurs devront expliquer la nécessité d'utiliser des catégories d'API particulières telles que le clavier actif, l'espace disque, l'horodatage du fichier, le démarrage du système et les paramètres par défaut de l'utilisateur. Tous ces éléments sont couramment utilisés pour collecter des signaux uniques sur les appareils qui peuvent être organisés dans un profil qui suit les utilisateurs individuels sur différents sites Web et applications.
Les développeurs Apple disposeront d'un délai de grâce d'environ six mois pour déclarer les raisons de leur utilisation de l'une de ces API dans le manifeste de confidentialité de l'application. Des e-mails de rappel commenceront à être envoyés aux développeurs à l'automne si une application est téléchargée sans raisons requises pour les API concernées ou si une description n'est pas ajoutée au fichier manifeste de confidentialité. Les nouvelles règles seront appliquées à partir du printemps 2024 et peuvent entraîner le rejet ou la suppression des applications de l'App Store en cas de violation.
Apple a également pris soin de noter que les empreintes digitales des utilisateurs ne deviennent pas légales lorsque les utilisateurs optent pour le suivi des publicités d'une application ; tout compte se livrant à tout type de prise d'empreintes digitales à tout moment sur un appareil Apple sera en danger.
Bien que le changement ne garantisse pas que les développeurs Apple cesseront de mettre en œuvre les empreintes digitales des utilisateurs, il fournit au moins à l'App Store un autre outil d'application indispensable.
Face à la dévastation potentielle de leurs modèles de revenus publicitaires avec les règles d'adhésion ATT, certains développeurs Apple ont choisi de tester des formes plus furtives d'empreintes digitales des utilisateurs. L’une des principales méthodes a consisté à enterrer les méthodes d’empreintes digitales dans les SDK qui communiquent de serveur à serveur, gardant ainsi leur activité dans des angles morts sur lesquels Apple n’a aucune visibilité. Un rapport d’enquête de fin 2021 du Washington Post a identifié un certain nombre d’applications populaires qui semblaient se livrer à la prise d’empreintes digitales des utilisateurs, sur la base des grandes quantités de données avec lesquelles ils « téléphonaient à la maison » et de certains des points de données spécifiques qui pouvaient être identifiés. Le rapport note également qu'Apple ne répondait souvent pas aux chercheurs extérieurs en sécurité qui soulevaient des inquiétudes concernant les données transmises par certaines applications.
Des inquiétudes existent déjà quant à la viabilité de cette nouvelle pratique, car elle repose sur les développeurs Apple pour déclarer eux-mêmes avec précision à quoi sert l'API. Des mesures de suivi seront nécessaires pour vérifier cela, et aucun détail n'est encore disponible sur la manière dont cela sera traité. Le manque de capacité à suivre le grand nombre de parties qui abusent des règles a été jusqu’à présent l’une des principales faiblesses du système d’application des empreintes digitales des utilisateurs.