Apple confirme que des gouvernements utilisent les notifications push pour surveiller les utilisateurs
(macrumors.com)- En raison de l’architecture qui fait transiter les notifications des smartphones par les serveurs d’Apple et de Google, l’avertissement selon lequel certains gouvernements peuvent suivre les utilisateurs via les données de notifications push a été rendu public dans une lettre du sénateur américain Ron Wyden
- Wyden affirme que des responsables étrangers ont demandé des données aux deux entreprises afin de suivre la manière dont certaines applications sont utilisées, et estime que cette architecture peut devenir un point d’entrée pour la surveillance gouvernementale
- Apple a déclaré à Reuters qu’elle n’avait pas pu divulguer les informations concernées à cause du gouvernement fédéral américain, mais qu’à la suite de cette révélation elle intégrera plus en détail ce type de demandes dans son rapport de transparence
- Selon une source proche du dossier, des agences gouvernementales étrangères comme américaines ont demandé des métadonnées de notifications push, qui auraient servi à associer des utilisateurs d’applications de messagerie anonymes à des comptes Apple ou Google précis
- Le contenu des notifications peut être chiffré par les développeurs, mais les métadonnées ne sont pas chiffrées, comme l’application qui envoie des notifications et à quelle fréquence, ce qui laisse subsister un risque d’exposition des habitudes d’utilisation des applications
Pourquoi les notifications push sont devenues un point de surveillance
- L’avertissement selon lequel certains gouvernements non identifiés surveillent les utilisateurs de smartphones en suivant leurs notifications push provient d’une lettre adressée au ministère américain de la Justice par le sénateur américain Ron Wyden
- La surveillance vise les données de notifications push qui transitent par les serveurs de Google et d’Apple
- Wyden indique que des responsables étrangers demandent des données aux deux entreprises technologiques pour suivre des smartphones
La demande de Wyden au ministère de la Justice
- Le trafic des notifications push place Apple et Google dans une position particulière, leur donnant accès à la manière dont les utilisateurs se servent des applications
- Les deux entreprises peuvent devenir un point d’entrée facilitant la surveillance gouvernementale de l’utilisation de certaines applications
- Wyden demande au ministère de la Justice de supprimer ou modifier les règles qui empêchent le débat public sur la surveillance via les notifications push
La réponse d’Apple
- Apple a déclaré à Reuters que la lettre de Wyden lui permettait de divulguer davantage d’informations sur la manière dont les gouvernements surveillent les notifications push
- L’entreprise affirme qu’auparavant, le gouvernement fédéral américain l’empêchait de partager des informations sur ce sujet
- Maintenant que cette méthode a été rendue publique, Apple prévoit de mettre à jour son rapport de transparence afin de traiter plus en détail ce type de demandes
Les données demandées et leur utilisation
- Dans la lettre de Wyden, la source des informations sur cette surveillance est présentée comme un signalement
- Une source proche du dossier a confirmé que des agences gouvernementales étrangères et américaines avaient demandé à Apple et Google des métadonnées liées aux notifications push
- Ces données auraient été utilisées dans le cadre de tentatives visant à associer des utilisateurs d’applications de messagerie anonymes à des comptes Apple ou Google précis
- La source de Reuters n’a pas indiqué quels gouvernements avaient formulé ces demandes, mais a décrit les demandeurs comme des « pays démocratiques alliés des États-Unis »
- On ne sait pas depuis combien de temps ces demandes se poursuivent
Recommandations aux développeurs et points d’exposition restants
- Apple recommande aux développeurs de ne pas inclure de données sensibles dans les notifications
- Elle recommande également de chiffrer les données avant de les placer dans la charge utile des notifications
- Toutefois, cette mesure de protection doit être mise en œuvre directement par les développeurs
- Les métadonnées, comme l’application qui envoie une notification ou la fréquence d’envoi, ne sont pas chiffrées
- Toute entité ayant accès à ces métadonnées peut potentiellement obtenir des informations sur la manière dont l’utilisateur se sert des applications
1 commentaires
Avis sur Hacker News
Faire tourner UnifiedPush sur un serveur Nextcloud, et utiliser l’app Nextpush sur l’appareil. Certaines apps l’utilisent
Certaines apps utilisent des WebSockets, mais si elles tournent en continu en arrière-plan, j’ai cru comprendre que cela consomme beaucoup de ressources
Certaines apps peuvent s’appuyer sur l’app Cheogram pour recevoir des notifications push
J’utilise un fork d’Android sans Google Play Services, mais je ne sais pas ce qui est possible sur iPhone
Si on les désactive dans l’app elle-même, plutôt que dans les réglages du téléphone, cela pourrait peut-être avoir un effet