Apple vous protège-t-il vraiment de la surveillance publicitaire ?

Avec iOS 14.5, le tracking sur les Apps iOS va être sévèrement restreint. Revenons sur les actions d'Apple contre la surveillance publicitaire

Publié par Pixel de Tracking le 19 avr. 2021

La vie privée, un argument produit pour Apple

Face au capitalisme de surveillance développé par Google, Apple a un argument évident, la vie privée. Et il ne s'en prive pas, comme en témoigne cette campagne publicitaire :

iPhone

Cet argument se retrouve aussi dans les paroles d'un Tim Cook, lors de la conférence "Computers, Privacy & Data Protection" de janvier 2021, un discours tout à fait remarquable.

Apple a toujours été très doué en marketing produit, mais s'agit-il seulement de belles paroles ? Une première réponse est apportée par cette page, une réponse plus détaillée est fournie ici : Apple prend en effet de nombreuses initiatives. On peut par exemple citer :

La vie privée est une des valeurs fondamentales d'Apple :

privacy

Mais Apple pourrait aller beaucoup plus loin, et je serais prêt à payer pour que les services suivants soient chiffrés de bout en bout : Apple Photos, Calendriers, Contacts, iCloud Drive, Notes ou Messages sur iCloud. Après sa dispute avec le FBI lors de l'attaque terroriste de San Bernardino, durant laquelle il s'est battu courageusement contre l'introduction de portes dérobées sur iOS, Apple avait une opportunité pour étendre l'utilisation du chiffrement de bout en bout à tous ses services. Sous pression du FBI, il n'a malheureusement pas osé :

Apple dropped plans to let iPhone users fully encrypt backups of their devices in the company's iCloud service after the FBI complained that the move would harm investigations, six sources familiar with the matter told Reuters.

Pour le plus grand bonheur des gouvernements, services de polices et services secrets, Apple ne chiffre pas iCloud de bout en bout. Et pour mieux vendre ses produits en Chine, Apple accepte de stocker les clés de chiffrement iCloud de ses utilisateurs Chinois directement sur des serveurs situés en Chine. Autre compromission avec le régime Chinois, Apple censure des Apps en Chine.

Intéressons-nous maintenant aux initiatives d'Apple contre la surveillance publicitaire. Vont-elles assez loin ?

Safari ITP, une bonne protection contre le pistage

En 2017, Apple intègre la fonctionnalité "Intelligent Tracking Prevention" (ITP) à Safari, le but étant de combattre le pistage multi-sites. Depuis cette première sortie, Apple a fait évoluer ITP, avec par exemple le blocage complet des cookies tiers ou la limitation de la durée de vie des cookies déposés via CNAME, ce qui lui permet de vous offrir une bonne protection contre le pistage des sociétés de l'adtech.

Lorsque l'on parle vie privée, Apple a également une excellente influence sur l'écosystème du web.

Les actions d'Apple contre le pistage multi-sites inspirent sans doute d'autres navigateurs. En 2018, Firefox annonce changer sa politique concernant le pistage, souhaitant dorénavant proposer une protection contre le pistage par défaut. En 2019, Firefox passe à l'acte avec "Enhanced Tracking Protection" (ETP), l'équivalent d'ITP, fonctionnalité qu'il a également fait évoluer depuis.

En bonus, si vous utilisez un iPhone ou un iPad et que vous passez par un autre navigateur, les protections d'ITP s'appliquent également ! En effet, Apple verrouille les options des navigateurs tiers, qui se voient obliger d'utiliser WebKit, le moteur de rendu de Safari.

Apple contrebalance l'influence de Google au W3C

Au W3C, l'organisme chargé de construire et de faire évoluer les standards du web, Apple propose des alternatives à Google dans le domaine de la publicité. Si Google a fait beaucoup de bruits avec les propositions visant à remplacer les cookies tiers ("Privacy Sandbox"), notamment la proposition controversée FLoC, Apple propose des standards pour un meilleur respect de la vie privée :

  • "Private Click Measurement (PCM)" : pour correctement attribuer des conversions aux campagnes publicitaires. Google a sa propre proposition appelée "Conversion Measurement API", mais celle-ci ne protège guère la vie privée car Google permet à l'annonceur d'attribuer un identifiant unique à chaque clic sur une publicité... Apple limite de son côté les options à 256 valeurs différentes, ce qui permet simplement de savoir quelle campagne publicitaire est efficace.
  • "Storage Access API" : Si Apple empêche les tiers de pister l'utilisateur sans son consentement (via les restrictions sur les cookies, le local storage, etc), ceux-ci peuvent demander explicitement l'autorisation à l'utilisateur via cette API. Certains cas d'usages tels que des systèmes d'authentification pouvant justifier cette autorisation.

Toujours au W3C, si Apple n'est pas le seul à défendre la vie privée (Firefox et Brave sont également très actifs), son investissement n'est pas de trop lorsqu'il s'agit de contrebalancer les armées de développeurs Chrome. Ceux-ci vont souvent compromettre la vie privée des utilisateurs sous couvert d'ajouter de nouvelles fonctionnalités au web. Par exemple, voici une liste de 16 fonctionnalités que Safari n'implémente pas car les risques de sécurité et de fingerprint sont trop grands.

Safari pourrait-il aller plus loin ?

Safari pourrait décider de lutter plus radicalement contre la surveillance publicitaire en intégrant par défaut un bloqueur de traceurs et de publicités type uBlock Origin. Avantages pour l'utilisateur :

En parlant de CNAME cloaking, la technique est d'ailleurs utilisé par Apple sur son site web, avec l'outil Adobe Analytics :

Aujourd'hui, Brave va beaucoup plus loin via sa fonctionnalité "Shields" : le but n'est pas d'empêcher le pistage multi-sites mais de bloquer l'exécution des traceurs. Un exemple pour illustrer la différence d'approche : les traceurs utilisant le CNAME cloaking sont bloqués par défaut.

De son côté, Firefox propose moins de protections par défaut mais son système d'extensions est très ouvert (Safari beaucoup moins, vous devez vous contenter d'un "Content Blocker" tels que Firefox Focus), ce qui permet par exemple à uBlock Origin d'être efficace contre le CNAME cloaking.

À noter que les outils marketing peuvent encore malheureusement échapper aux protections des navigateurs et autres bloqueurs de traceurs, parfois même via des solutions clé en main.

Une politique cohérente sur le web... à une exception près

Sur le web, Apple a donc une politique cohérente :

  • Safari protège contre le pistage multi-sites.
  • Le pistage au sein d'un même site est jugé légitime par Apple, il reste possible.
  • Une publicité plus respectueuse de la vie privée est encouragée.

S'il est toujours possible de faire mieux, Safari est à des années-lumière de Google Chrome en ce qui concerne la protection de la vie privée.

Sauf que lorsque l'on parle d'argent, Apple pactise avec le diable : Google paye entre 8 et 12 milliards de dollars à Apple par an pour être le moteur de recherche par défaut sur Safari.

Sur les Apps, un rattrapage nécessaire

Avec iOS 14.5, Apple lance le système "App Tracking Transparency" (ATT), le tracking devient opt-in. Voici la définition du "tracking" selon Apple :

Tracking refers to the act of linking user or device data collected from your app with user or device data collected from other companies’ apps, websites, or offline properties for targeted advertising or advertising measurement purposes. Tracking also refers to sharing user or device data with data brokers.

Cette définition est classique, similaire à celle de Firefox :

Tracking is the collection of data regarding a particular user's activity across multiple websites or applications (i.e., first parties) that aren’t owned by the data collector, and the retention, use, or sharing of data derived from that activity with parties other than the first party on which it was collected.

Elle est également similaire à celle du W3C :

Tracking is the collection of data regarding a particular user's activity across multiple distinct contexts and the retention, use, or sharing of data derived from that activity outside the context in which it occurred. A context is a set of resources that are controlled by the same party or jointly controlled by a set of parties.

Apple est enfin cohérent avec la politique qu'il appliquait déjà sur le web :

  • ATT protège contre le pistage multi-Apps.
  • Le pistage au sein d'un même App ou sur plusieurs Apps d'une même société est jugé légitime par Apple, il reste possible.

Sur iOS, la surveillance publicitaire a historiquement été facilitée par Apple, via la mise à disposition d'un identifiant publicitaire unique appelé IDFA. Cet identifiant était activé par défaut, les utilisateurs iOS pouvaient le désactiver s'ils le souhaitaient :

suivi Dans Réglages > Confidentialité > Publicité, il était possible de cocher "Suivi publicitaire limité" (ce que j'avais fait, comme le montre la capture), mais l'option était décochée par défaut.

L'option par défaut a une importance capitale : peu de gens changent les paramètres de confidentialité (selon Adjust, seulement 20% des utilisateurs désactivaient l'identifiant).

Apple a donc ici une responsabilité historique : l'IDFA a permis à une multitude de sociétés de vous surveiller facilement, et ceci pendant des années. Pour rappel :

Voici la réaction d'un publicitaire à l'annonce du lancement de l'IDFA (en 2012 avec iOS 6), et du "dark pattern" associé à l'option "Suivi publicitaire limité" :

"It's a really pretty elegant, simple solution," says Mobile Theory CEO Scott Swanson. "The biggest thing we're excited about is that it's on by default, so we expect most people will leave it on."

Cette responsabilité historique a donc valu une plainte RGPD devant la CNIL, de la part de la Quadrature du Net :

apple-sait

Changement de paradigme donc avec iOS 14.5, les applications devront vous demander l'autorisation pour vous pister, comme le montre la nouvelle interface (visible dès iOS 14, même si la protection n'est pas encore effective) :

demande Dans Réglages > Confidentialité > Suivi, "Autoriser les demandes de suivi des apps" est coché par défaut (au pire, les Apps vous demanderont si vous souhaitez être pisté), et vous pouvez décocher l'option.

Pour comparaison, l'équivalent Google Android de l'IDFA est l'Android Advertising ID. Mais les protections sont quasi inexistantes :

  • Il est impossible de désactiver l'Android Advertising ID (il était possible de désactiver l'IDFA dès iOS 10).
  • Il est seulement possible de le réinitialiser.

L'association noyb a lancé une plainte RGPD contre Google pour le suivi utilisateurs par le biais d'un "Android Advertising ID" sans base juridique valable. On peut noter qu'une plainte RGPD de noyb existe également contre Apple pour le suivi sans consentement via l'IDFA. Mais avec ce rattrapage, Apple risque beaucoup moins gros que Google (noyb signale aussi qu'après la mise à jour, Apple pourra toujours utiliser l'IDFA sans consentement, ce qui est faux).

Techniquement, les publicitaires n'auront plus accès à l'IDFA si vous n'avez pas explicitement donné votre autorisation. Mais les publicitaires ont d'autres armes en main pour vous surveiller (fingerprint, hash de l'adresse e-mail...). Apple va-t-il aussi lutter contre ces techniques ? L'avenir nous le dira, mais il semble bien que cela soit son intention :

caid

Les paramètres de votre appareil iOS permettant de générer le fingerprint CAID.

De la même manière que sur le web avec son "Private Click Measurement (PCM)", Apple ne laisse pas les publicitaires à l'abandon. La mesure de téléchargements d'applications à la suite d'une campagne publicitaire était effectuée via l'IDFA ou via un fingerprint (réalisé par des sociétés telles que Adjust). Apple met maintenant à disposition des développeurs l'API SKAdNetwork, pour effectuer la mesure tout en protégeant la vie privée des utilisateurs.

Apple contre Facebook

La promesse d'ATT est simple :

cook

Merci Tim Cook.

L'importance de cette mise à jour peut se mesurer à la réaction épidermique de Facebook, qui voit sa capacité de surveillance sévèrement diminuée sur iOS (son SDK étant aujourd'hui omniprésent sur les Apps). Facebook justifie sa démarche par la défense des petits commerces, qui seraient dépendants de la publicité ciblée de Facebook pour trouver de nouveaux clients :

Facebook a aussi acheté des pages entières de publicité dans de grands journaux américains pour dénoncer la mise à jour d'Apple :

small

Facebook ne déçoit jamais :

free

Apple contre les publicitaires français

Les publicitaires français sont à la pointe du combat contre Apple, et après une lettre publique envoyée à Tim Cook en juillet (spoiler : il n'a pas répondu), ils se décident à porter plainte auprès de l'autorité de la concurrence en octobre dernier. L'objet de leur plainte ? L’introduction obligatoire de la sollicitation ATT pour les applications sur iOS qui souhaiteraient faire un suivi de l’activité de l’utilisateur sur des sites tiers.

Première réponse de l'autorité de la concurrence le 17 mars et premier camouflet pour l'industrie publicitaire, sur le volet vie privée :

En l’état de l’instruction, l’Autorité a estimé que la décision d’Apple de mettre en place un dispositif de recueil du consentement complémentaire à celui mis en place par d’autres acteurs de la publicité en ligne, n’apparaissait pas comme une pratique abusive

L'instruction continue néanmoins :

Celle-ci devra notamment permettre de vérifier que la mise en place par Apple de la sollicitation ATT ne peut être regardée comme une forme de discrimination ou « self preferencing », ce qui pourrait notamment être le cas si Apple appliquait sans justification, des règles plus contraignantes aux opérateurs tiers que celles qu’elle s’applique à elle-même pour des opérations similaires.

Il est fort à parier que les publicitaires se fassent aussi débouter sur le volet anticoncurrentiel car Apple ne favorise pas ses propres applications : il ne pratique pas le tracking (et n'utilise donc pas l'IDFA). Apple propose des publicités ciblées sur ses Apps (Apple News, App Store, Bourse), en utilisant les données personnelles récoltées lui-même. Google, Facebook ou n'importe quelle autre App peut faire de même sur iOS, Apple ne s'oppose pas aux publicités personnalisées.

Autre plainte, cette fois-ci devant la CNIL par l'association France Digitale. L'attaque est plus subtile, Apple active par défaut les publicités personnalisés sur ses propres applications :

personnalise

Si vous allez dans Réglages > Confidentialité > Publicité Apple, l'option publicités personnalisées est activée par défaut.

Clairement, Apple devrait demander votre consentement avant de pouvoir proposer de la publicité personnalisée, il ne respecte donc pas le RGPD. France Digital indique que cela porte un préjudice significatif :

  • Aux utilisateurs (c'est vrai, encore que la publicité personnalisée sur Apple News, l'App Store et Bourse soit très loin du préjudice de la publicité personnalisée sur les applis Google ou Facebook).
  • Aux startups françaises qui, je cite, "respectent scrupuleusement les règles posées par le RGPD". C'est osé ! La liste des entreprises faisant partie de l'association n'est pas publique, mais on peut noter que Frichti en fait partie, et l'appli qui bafoue le RGPD.

La plainte parle encore de distorsion de concurrence en insinuant qu'Apple proposerait de la publicité personnalisée avec ses "sociétés affiliées" :

digitale

Tableau inclus dans la plainte de France Digitale, censé montrer une distorsion de concurrence.

Comme déjà vu, le pistage et la publicité personnalisé au sein d'une même App ou de plusieurs Apps d'une même société est jugé légitime par Apple, cette pratique n'est pas le simple fait d'Apple mais aussi de Google, Facebook, Twitter, etc. France Digitale parle donc des "sociétés affiliées", des partenaires d'Apple qui comploteraient ensemble pour vous traquer.

Les explications d'Apple sur son programme de publicité sont pourtant très clair, il n'y a ni transmission, ni partage de données personnelles avec des tiers :

Apple ne partage ni ne transmet les données pouvant vous identifier personnellement à des parties tierces.

Également, Apple ne récupère pas de données personnelles via des tiers :

La plateforme publicitaire d’Apple ne suit pas vos activités, c’est-à-dire qu’elle n’associe pas les données d’utilisateur ou d’appareil recueillies sur nos apps à des données d’utilisateur ou d’appareil recueillies auprès de tiers à des fins de ciblage ou de mesure publicitaires, et ne partage pas les données d’utilisateur ou d’appareil avec des courtiers en données.

Aucune mention de "sociétés affiliées" dans l'engagement de confidentialité d'Apple, cela ressemble à une invention de France Digitale.

Mais pourquoi un tel acharnement "d'entrepreneurs et investisseurs du numérique français" contre Apple ? Sans doute parce que l'adtech pèse très lourd en France, on peut voir par exemple l'implication de Criteo (le fameux géant du marketing de surveillance français) dès le lancement de France Digitale ici et . Il faut dire que Criteo n'aime guère Apple, et cela depuis quelque temps déjà.

Apple contre les publicitaires américains

Chez les publicitaires américains, les attaques sont plus subtiles mais guère convaincantes. Vous pouvez lire Ben Thomson ou Eric Benjamin Seufert (chez Ben Thomson ou sur son site). Voici quelques arguments :

  • En s'attaquant au tracking, on renforcerait les "Walled Gardens" (Google, Facebook, etc). Ce à quoi répond très bien Wolfie Christl dans ce thread Twitter :

wolfie

  • Sur le renfort supposé aux "Walled Gardens", s'attaquer au tracking n'empêche d'ailleurs pas de s'attaquer aux géants publicitaires. Les 2 axes peuvent se compléter : lisez par exemple la plainte de Brave contre le RTB ("external" data free-for-all), ainsi que la plainte de Brave contre Google ("internal" data-free-for-all). Sans parler vie privée, il serait intéressant de s'attaquer aux abus de position dominante des géants publicitaires, Google et Facebook. Mais les lobbyistes publicitaires ignorent l'option.
  • Apple ne chercherait pas à protéger votre vie privée sur les Apps (via ATT), mais plutôt à contrôler l'intégralité de votre expérience. Hors Facebook dérangerait Apple car la découverte de nouvelles Apps ne passeraient plus du tout par l'App Store mais par la publicité personnalisée sur Facebook ou Instagram. En s'attaquant au tracking, Apple chercherait donc à reprendre le contrôle sur la distribution des Apps. Mais quelle est la part réelle de la publicité dans la distribution des Apps ?
  • Argument similaire sur le web (via ITP), où Apple chercherait plutôt à asphyxier les ressources publicitaires. En conséquence, les éditeurs devraient miser sur les abonnements via les Apps, sur lesquels Apple touche une commission. Mais pourquoi ne pas proposer de la publicité respectueuse de la vie privée ?
  • Apple lutterait contre les acteurs publicitaires pour pousser son propre business publicitaire. Difficile à croire car le business publicitaire d'Apple (App Store, Apple News et Bourse) est dérisoire comparé à ses autres revenus (produits, services). Apple a également fermé iAd, son ad-network, en décembre 2016.

Si la volonté de contrôle d'Apple est évidente, et si le monopole de l'App Store est un énorme problème, les arguments des lobbyistes publicitaires manquent de pertinence. Apple a une raison évidente d'investir pour mieux protéger la vie privée : la demande de protection est forte (et les clients potentiels d'Apple ne sont pas les publicitaires, mais vous et moi).

Apple force la transparence chez les développeurs d'App

Depuis décembre 2020, Apple a rendu obligatoire les étiquettes de confidentialité sur les Apps. Ces étiquettes permettent de mettre en valeur les différences entre applications. Si l'on compare des navigateurs par exemple :

chrome

Le spyware Google Chrome.

duck

Le navigateur de DuckDuckGo, respectueux de votre vie privée.

Si l'on regarde maintenant les messageries :

messenger

Messenger, le spyware de Facebook, encore pire que WhatsApp.

signal

Signal, une App respectueuse de la vie privée.

Certes, ces étiquettes ont des limites :

  • Elles sont basées sur de l'auto-déclaration. Apple va-t-il contrôler si le développeur dit la vérité ?
  • Il n'y a pas d'informations sur les données personnelles qui peuvent fuiter vers des tiers. Il serait intéressant de voir qui récupère vos données personnelles et pourquoi.

Mais elles représentent déjà une belle avancée, et pousseront peut-être les développeurs d'Apps à limiter l'usage de données personnelles à celles qui sont strictement nécessaires.

Apple pourrait-il aller plus loin sur les Apps ?

Avec ATT, Apple s'est mis au niveau de Safari ITP (protection contre le tracking). S'il voulait aller plus loin, il pourrait décider de bloquer les publicités et les traceurs 1st-party (analytics, A/B testing, tag managers...). Avantages pour l'utilisateur :

  • Les publicités seraient bloquées.
  • Les traceurs 1st-party (analytics, A/B testing, tag managers...) seraient également bloqués. Aujourd'hui par exemple, les traceurs de Google Analytics, Segment, Mixpanel ou Amplitude ne sont pas bloqués.

Mais il se mettrait à dos certains développeurs, et ce ne serait pas cohérent avec sa politique actuelle sur le web via Safari ITP.

Malheureusement, cette publicité ne s'applique donc pas aux traceurs 1st-party, votre iPhone communique toujours avec de nombreux tiers, dont ceux de Google (même si les identifiants devraient maintenant être spécifiques à chaque App, car l'IDFA n'est plus disponible par défaut) :

billboard

Avec le support natif des DNS chiffrés via iOS 14, il a néanmoins permis à des bloqueurs de traceurs et de publicités de mieux faire leur travail (ces bloqueurs devaient créer un pseudo VPN local, ce qui était une catastrophe pour la batterie). J'utilise pour ma part NextDNS, ce qui me permet de bloquer tous les traceurs et autres publicités.

Oui, Apple vous protège contre la surveillance publicitaire, de mieux en mieux

Comme nous l'avons vu, les protections apportées par Apple contre la surveillance publicitaire sur iOS sont largement améliorables. Mais elles ont le mérite d'être cohérentes et de lutter assez efficacement contre le tracking, comme le prouve d'ailleurs l'énervement de Facebook et de l'adtech en général. Un utilisateur avancé pourra aller plus loin en passant par un bloqueur de traceurs et de publicités tel que NextDNS, AdGuard ou un Pi-Hole.

Même s'il est sain de critiquer une multinationale aussi dominante, et pour des raisons très valables (système fermé, verrouillé, réparabilité très limitée, monopole de l'App Store, "optimisation fiscale", obsolescence programmée, etc), l'alternative "Android by Google" n'est pas crédible si vous souhaitez protéger votre vie privée.

Si vous êtes allergique à Apple mais que vous souhaitez tout de même protéger votre vie privée sur votre smartphone, il vous faudra passer par des distributions qui auront supprimé la couche "Google" d'Android (/e/ par exemple, basé sur Lineage OS et microG), mais il vous faudra de bonnes compétences techniques.