Apple demande aux développeurs d’applications d’expliquer l’utilisation des API sensibles
Français
Apple a dit aux développeurs qui écrivent des applications pour ses trucs brillants qu’ils devront bientôt expliquer pourquoi leurs programmes utilisent certaines API sensibles.
Cupertino affirme qu’il le fait pour décourager les fabricants d’applications d’essayer de suivre les utilisateurs grâce aux empreintes digitales.
“Certaines API que votre application utilise pour fournir ses fonctionnalités de base – dans le code que vous écrivez ou incluses dans un SDK tiers – peuvent être utilisées à mauvais escient pour accéder aux signaux de l’appareil afin d’essayer d’identifier l’appareil ou l’utilisateur, également connu sous le nom d’empreintes digitales, “La documentation des développeurs d’Apple a expliqué jeudi. “Indépendamment du fait qu’un utilisateur donne à votre application l’autorisation de suivre, les empreintes digitales ne sont pas autorisées.”
La prise d’empreintes digitales dans le contexte d’une activité en ligne fait référence à un moyen de créer un identifiant unique basé sur les caractéristiques logicielles et matérielles d’un appareil. Avec suffisamment de points de données, les différents paramètres fournissent une entropie suffisante pour distinguer la plupart des utilisateurs les uns des autres. Le site Web AmIUnique.org montre comment cela fonctionne pour les navigateurs Web.
Au cours de la dernière décennie – alors qu’Apple, Google et d’autres ont pris des mesures pour améliorer la confidentialité sur le Web et dans les applications natives – les empreintes digitales sont devenues plus courantes, probablement pour conserver l’accès aux informations de suivi refusées par les défenses de la vie privée.
Comme l’ont observé des chercheurs de l’Université de l’Iowa, de Mozilla et de l’Université de Californie à Davis dans un rapport de 2020 [PDF]seuls 40 des 10 000 principaux sites Web utilisaient des techniques de prise d’empreintes digitales en 2013. En 2019, il y avait des scripts de prise d’empreintes digitales sur environ 37 % des 500 principaux sites Web et en 2021, une autre étude affirmait que plus des deux tiers des 10 000 principaux sites Web effectuaient la prise d’empreintes digitales.
Les empreintes digitales sont souvent utilisées par les spécialistes du marketing pour un suivi non consensuel ; il a également des applications plus généralement acceptées, comme la gestion de la sécurité du réseau et la prévention de la fraude.
Apple a annoncé son initiative de confidentialité des API lors de sa conférence mondiale des développeurs en juin. Venez “automne 2023” – éventuellement en conjonction avec la sortie prévue d’iOS 17 en septembre ou octobre – les développeurs utilisant les “API de raison requises” devront fournir une raison valable, parmi une liste limitée de celles acceptées, pour demander des données d’appareil comme le système l’heure de démarrage, la quantité d’espace disque disponible et les paramètres par défaut de l’utilisateur.
Les développeurs doivent inclure dans leur fichier manifeste de confidentialité un code de raison correspondant à une raison approuvée. Par exemple, “CA92.1” est le code associé à la seule raison valable d’accéder aux données UserDefaults. La description de la raison interdit explicitement la lecture de données utilisateur à partir d’autres applications ou l’écriture de données utilisateur pour les rendre disponibles dans une autre application.
“Déclarez cette raison d’accéder aux paramètres par défaut de l’utilisateur pour lire et écrire des informations qui ne sont accessibles qu’à l’application elle-même”, explique la documentation d’Apple. “Cette raison ne permet pas de lire des informations écrites par d’autres applications ou le système, ou d’écrire des informations accessibles par d’autres applications.”
Apple examinera également les raisons qui ne figurent pas sur sa liste officielle par le biais d’un processus de pétition – le développeur doit soumettre un formulaire et convaincre un représentant de l’entreprise que l’utilisation prévue n’est pas abusive.
Il n’est pas clair si Apple, dans le cadre de son processus d’examen des applications ou en réponse aux plaintes des utilisateurs, comparera les raisons déclarées avec ce que fait réellement le code d’application. Mais si Apple choisit d’enquêter, la raison invoquée par un développeur pour utiliser une API devrait faciliter la détection du code non conforme. ®
