La recopie de l'affichage de l'iPhone sur le Mac est l'une des nouveautés majeures d'iOS 18 et macOS Sequoia. Mais dans son fonctionnement actuel, se pose un problème de confidentialité pour les utilisateurs en entreprise.
Le principe général de recopie de l'iPhone consiste à projeter l'affichage de son téléphone sur l'écran du Mac. Depuis l'écran de l'ordinateur, on peut alors manipuler tout le contenu de son iPhone avec sa souris et son clavier, sans même une connexion filaire.
Aperçu de la recopie de l'iPhone sous macOS Sequoia : intégration réussie
Le problème, explique Sevco, une société spécialisée dans la sécurité et les outils de gestion de parcs d'entreprises, est que cette connexion laisse des traces sur le Mac. Dans un dossier cache de macOS sont stockés des « bouts d'apps » iOS. Il ne s'agit pas d'une copie complète des apps qui sont sur l'iPhone mais d'une portion de leur contenu : leur icône, leur nom et des métadonnées. C'est peu en termes de volume de stockage — il n'y a pas le code exécutable — mais cela suffit à renseigner sur ce qui est installé comme apps sur l'iPhone.
Sevco, et d'autres sociétés dans son domaine d'activité, vendent justement des outils d'inventaire des logiciels présents sur les machines d'un parc d'entreprise. Cela permet aux administrateurs d'avoir une liste consolidée de ce qui circule comme applications sur les ordinateurs.
Lors de ces inventaires, ces traces d'apps iOS seront prises dans ces filets. Avec la possibilité pour un administrateur fouineur d'en apprendre un peu plus sur tel ou tel salarié :
Pour les utilisateurs d'iPhone, ce bug d'Apple représente un risque majeur pour la vie privée, car il peut exposer des aspects de leur vie privée qu'ils ne souhaitent pas partager ou qui pourrait les mettre en danger. Il peut s'agir de l'exposition d'une application VPN dans un pays qui restreint l'accès à internet, d'une application de rencontre qui révèle leur orientation sexuelle dans une juridiction où les protections ou les conséquences juridiques sont limitées, ou d'une application liée à un problème de santé qu'un employé ne souhaite tout simplement pas partager. Les conséquences d'une telle exposition de données peuvent être graves.
Alertée à la toute fin septembre, Apple a rapidement pris la mesure du problème et répondu à Sevco qu'un changement technique allait être apporté à l'occasion d'une mise à jour. Dans l'attente, Sevco conseille aux utilisateurs de ne pas se servir de cette fonction dans une entreprise soumise à ce genre d'audits logiciels et aux administrateurs d'en informer les salariés. Pour rappel, cette fonction n'est pas encore exploitable en Europe, sauf en utilisant un compte App Store américain.
Le glisser/déposer entre la recopie d'iPhone et le Mac arrive avec les cinquièmes bêtas, mais toujours pas en Europe