Une société russe de médecine légale nommée Elcomsoft a découvert qu'Apple stockait les historiques de navigation Safari des utilisateurs dans iCloud depuis plus d'un an, peut-être beaucoup plus longtemps. Cela se produisait même après que les utilisateurs avaient demandé que les enregistrements supprimés soient effacés de leurs appareils connectés à iCloud. Peu de temps après qu'Elcomsoft ait annoncé un moyen d'extraire les historiques de navigation supprimés d'iCloud, Apple a appliqué un correctif côté serveur pour arrêter les récupérations et a apparemment purgé tous les enregistrements de plus de deux semaines..
"Bonne décision, Apple", a déclaré Elcomsoft. "Pourtant, nous aimerions avoir une explication."
Apple a refusé de commenter publiquement les conclusions d'Elcomsoft.
Elcomsoft a découvert, par hasard, que des informations sur les entrées supprimées de l'historique de navigation de Safari étaient stockées dans iCloud, peut-être indéfiniment. Ces enregistrements comprenaient des éléments tels que les noms de sites Web, les URL et la date de visite d'un site donné.
Les enregistrements effacés étaient simplement marqués comme «supprimés» dans le tableau sur iCloud. Les articles ne semblent pas avoir été accessibles aux demandes des forces de l'ordre.
Selon les experts en sécurité, il s'agissait d'un défaut de conception plutôt que d'une sorte de schéma néfaste de la part d'Apple.
La synchronisation iCloud nécessite que les enregistrements des éléments supprimés restent accessibles sur les serveurs pendant un certain temps après la suppression des éléments réels. Cela permet à un appareil iCloud qui peut être éteint ou inaccessible de supprimer une copie de l'élément qui a été précédemment supprimé de Safari sur un autre appareil, dès que cet appareil est de nouveau en ligne.
Maintenant, toutes les entreprises qui gèrent des services en ligne qui stockent des données utilisateur sur des serveurs sont tenues par la loi d'adhérer à une certaine forme de conservation des données, les obligeant à conserver tous les éléments supprimés sur les serveurs pendant une certaine période de temps. Comme expliqué, conserver un enregistrement qu'un site donné a été visité et effacé permet à Apple de synchroniser ces informations avec d'autres appareils qui peuvent être actuellement inaccessibles à iCloud.
Elcomsoft a réussi à battre ces records avec son outil d'acquisition mobile remontant à plus d'un an, mais c'était avant qu'Apple applique silencieusement un correctif côté serveur. L'outil extrait des informations complètes sur chaque enregistrement, y compris la date et l'heure de la dernière consultation de l'enregistrement ainsi que la date et l'heure de la suppression de l'enregistrement.
Elcomsoft a trouvé ces enregistrements stockés sous forme non hachée dès novembre 2015.
Bien que l'outil de sondage Phone Breaker d'Elcomsoft puisse être utilisé pour accéder à ces données sous une forme non cryptée, il nécessite que l'utilisateur ait accès aux informations de connexion iCloud d'une cible ou à un jeton d'authentification stocké sur l'appareil lui-même, ce qui rend les invasions de confidentialité liées à iCloud difficiles à tirer de.
Selon Forbes, un changement qu'Apple a implémenté dans Safari 9.1 et iOS 9.3 transforme toutes les URL supprimées de l'historique Web de l'utilisateur en une forme hachée pour empêcher l'espionnage. En attendant, vous pouvez éviter complètement ce problème en désactivant la synchronisation de Safari dans les paramètres iCloud sur votre iPhone, iPad ou Mac.
Source: Elcomsoft via Forbes