En avril 2011, Alasdair Allan et Pete Warden de chez O’Reilly Radar révélaient que l’iPhone enregistrait les coordonnées des réseaux WiFi et cellulaires situés à portée, et les stockaient dans le fichier consolidated.db pendant environ une année.
La CNIL française a ainsi mis sous surveillance un iPhone 3GS connecté en WiFi pour observer les données transmises de façon sécurisée (SSL/TLS). Le constat est édifiant lorsqu’on lance Maps ou Boussole :
  • l’iPhone transmet à Apple une liste de quelques points d’accès WiFi détectés, identifiés par leur seule adresse MAC.
  • Apple répond avec une liste de tous les points d’accès situés à proximité du téléphone (environ 150 m), toujours identifiés par des adresses MAC.
La nuit, la CNIL a remarqué que l’iPhone était toujours aussi bavard, échangeant sans cesse avec les serveurs de géolocalisation de la Pomme, et cela de façon totalement automatisée : « l’iPhone envoie à Apple des informations sur les points d’accès WiFi qu’il a “vus” dans les heures ou les jours précédents. Ces points d’accès WiFi sont identifiés par leur adresse MAC associée à la force du signal mesuré et la position géographique (GPS) du téléphone au moment de la mesure (ainsi que d’autres données techniques complémentaires, à l’exclusion du SSID) ». Que trouve-t-on dans les paquets de données ? « Les requêtes observées contenaient un ou deux points géographiques associés chacun à un peu plus d’une dizaine de points d’accès WiFi détectés. C’est ainsi, semble-t-il, que les serveurs d’Apple enrichissent et mettent à jour leur base de données de géolocalisation WiFi, en mettant à contribution les utilisateurs d’iPhone pendant leur sommeil».
La CNIL regrette que l’utilisateur ne soit pas informé, même si ce système respecte l’anonymat des points d’accès.
Source : CNIL