Les gouvernements espionnent les utilisateurs d'Apple et de Google par le biais des notifications push
selon un sénateur américain

Le sénateur américain Ron Wyden a révélé que des gouvernements espionnent secrètement les utilisateurs d'Apple et de Google en suivant l'activité des applications via les notifications push. Ces notifications, qui fournissent des alertes aux utilisateurs, passent par les serveurs des systèmes d'exploitation, permettant aux gouvernements d'accéder à des métadonnées et parfois même au contenu non chiffré. Wyden appelle à la transparence, demandant aux entreprises de divulguer les demandes gouvernementales et soulignant le besoin de règles plus claires.

Apple a mis à jour son rapport de transparence en réponse aux révélations, tandis que Google a souligné son engagement envers la divulgation d'informations aux utilisateurs. Wyden encourage également une notification aux clients concernés par de telles demandes, soulignant l'importance de protéger la vie privée des utilisateurs.

Nom : espion.jpg Affichages : 2165 Taille : 66,7 Ko

Apple aurait confirmé que le gouvernement fédéral américain « interdisait » à l'entreprise « de partager toute information », mais maintenant que Wyden a dénoncé les autorités fédérales, Apple a mis à jour ses rapports de transparence et « détaillera ce type de demandes » dans une section distincte sur les notifications push dans son prochain rapport.

Un porte-parole de Google a déclaré que Google était « la première grande entreprise à publier un rapport de transparence public indiquant le nombre et le type de demandes gouvernementales concernant les données des utilisateurs que nous recevons, y compris les demandes mentionnées par le sénateur Wyden ». Cela signifie que le rapport de transparence de Google, documente déjà les demandes de données de notification push dans les données agrégées de toutes les demandes gouvernementales d'informations sur les utilisateurs. Le porte-parole de Google a déclaré que l'entreprise partageait « l'engagement du sénateur à tenir les utilisateurs informés de ces demandes ».

Citation Envoyé par Le sénateur américain Ron Wyden
Monsieur le Procureur général Garland,

Je souhaite solliciter du ministère de la justice l'autorisation permettant à Apple et Google d'informer leurs clients ainsi que le grand public des demandes d'enregistrement des notifications des applications de smartphones. Au cours du printemps 2022, mon bureau a été informé de demandes émanant d'agences gouvernementales étrangères, sollicitant auprès de Google et Apple des enregistrements des notifications "push" de smartphones. Mon équipe a enquêté sur cette information au cours de l'année écoulée, collaborant avec les deux entreprises. En réponse, Apple et Google ont précisé que les détails concernant cette pratique ne pouvaient être divulgués publiquement en raison de directives gouvernementales.

Les notifications push sont des alertes instantanées envoyées par les applications aux utilisateurs de smartphones, telles qu'un nouveau message texte ou une mise à jour. Ces notifications ne sont pas transmises directement par le fournisseur de l'application, mais passent par un service géré par le fournisseur du système d'exploitation du téléphone, tels que le Push Notification Service d'Apple pour les iPhones et le Firebase Cloud Messaging de Google pour les téléphones Android. Bien que cela garantisse une transmission efficace des notifications, cela place Apple et Google en tant qu'intermédiaires dans le processus.

En tant que détenteurs des données de notifications push, Apple et Google pourraient être contraints par des gouvernements à divulguer ces informations, ce qui soulève des préoccupations liées à la vie privée des utilisateurs. Les développeurs d'applications n'ont guère d'alternatives, étant obligés d'utiliser les services respectifs d'Apple et de Google pour assurer la transmission fiable des notifications push. Ainsi, ces deux entreprises occupent une position unique pour faciliter la surveillance gouvernementale de l'utilisation des applications par les utilisateurs.

Je plaide en faveur de la transparence de la part d'Apple et de Google concernant les demandes légales, notamment celles provenant de gouvernements étrangers, à l'instar de leur pratique en matière d'autres demandes gouvernementales de données. Ces entreprises devraient pouvoir informer de manière générale sur les contraintes subies pour faciliter cette surveillance, publier des statistiques globales sur le nombre de demandes reçues, et, à moins d'une contrainte juridique, notifier spécifiquement les clients concernés par les demandes de données. Je demande au ministère de la justice de réviser ou d'amender toute politique entravant cette transparence.

Je vous remercie de l'attention accordée à cette question urgente. Pour toute question ou clarification, veuillez contacter Chris Soghoian dans mon bureau.

Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées.
Au début de l'année, le développeur français David Libeau a déclaré que les utilisateurs et les développeurs ignoraient souvent que leurs applications transmettaient des données aux géants américains de la technologie par le biais de notifications push, les qualifiant de « cauchemar en matière de protection de la vie privée ».

Comment fonctionnent les notifications push ?

La notification push est un système basé sur l'abonnement. Votre smartphone s'abonne à un canal et tout doit passer par les serveurs du constructeur du smartphone. Par « serveur du constructeur », on entend Apple si vous avez un iPhone ou Google si vous avez un téléphone Android. Lorsque l'application veut envoyer une notification push même lorsqu'elle est fermée, c'est le serveur de l'application qui déclenche une notification en envoyant l'information aux serveurs du constructeur du smartphone. Apple ou Google peuvent donc potentiellement lire vos notifications push ou au moins savoir que vous recevez des données d'une application.

Ne confondez pas les notifications push avec les notifications classiques. Une application ou votre navigateur web peut également envoyer des notifications lorsqu'il est ouvert. Ces notifications régulières n'envoient pas de données à des serveurs. Seules les notifications push, qui peuvent déclencher des notifications même lorsque l'application est fermée, utilisent des serveurs externes.

Nom : how_push_notifications_work.gif Affichages : 1200 Taille : 52,7 Ko

Les services qui utilisent cette technologie ont souvent oublié d'en informer les utilisateurs. On peut encore trouver des informations à ce sujet dans certaines politiques de confidentialité. Par exemple, Microsoft a ajouté un paragraphe sur les notifications push dans sa déclaration de confidentialité.

Citation Envoyé par Microsoft
Pour vous informer des appels entrants, des chats et autres messages, Teams utilise le service de notification de votre appareil. Pour de nombreux appareils, ces services sont fournis par une autre société. Pour vous dire qui vous appelle, par exemple, ou pour vous donner les premiers mots d'une nouvelle discussion, Teams doit informer le service de notification afin qu'il puisse vous envoyer la notification. La société qui fournit le service de notification sur votre appareil utilisera ces informations conformément à ses propres conditions et à sa politique de confidentialité. Microsoft n'est pas responsable des données collectées par la société fournissant le service de notification
.
Selon David Libeau, les développeurs n'ont peut-être pas d'autre choix que de supprimer entièrement les notifications push s'ils veulent éviter d'envoyer des données personnelles à Apple ou à Google. Du point de vue du développeur, il est tout simplement impossible d'avoir des notifications push sans utiliser les serveurs du constructeur du smartphone, car l'application ne peut utiliser que les serveurs de notifications push fournis par le smartphone.

Appel à la Transparence d'Apple et Google

Le geste du sénateur américain Ron Wyden pour révéler que des gouvernements espionnent secrètement les utilisateurs d'Apple et de Google à travers les notifications push est louable. La protection de la vie privée dans un monde numérique est devenue une préoccupation majeure, et mettre en lumière de telles pratiques est essentiel pour susciter une réflexion critique et promouvoir la transparence.

La demande de Wyden en faveur de la transparence de la part d'Apple et de Google est justifiée. En tant que détenteurs de vastes quantités de données sensibles, ces entreprises ont une responsabilité envers leurs utilisateurs de divulguer les demandes gouvernementales et de protéger leur vie privée. La mise à jour du rapport de transparence par Apple montre une réponse proactive à ces préoccupations, mais il est impératif que cela soit suivi d'actions concrètes pour renforcer la confidentialité des utilisateurs.

La suggestion de Wyden d'informer spécifiquement les clients concernés par de telles demandes est également pertinente. Les utilisateurs ont le droit de savoir si leurs données ont été sollicitées par le gouvernement, ce qui leur permettrait de prendre des mesures pour protéger leur vie privée et d'exiger des comptes aux entreprises qui stockent leurs informations.

Cependant, il est important de noter que la simple mise à jour des rapports de transparence ne suffit pas. Des réformes plus profondes, telles que l'établissement de règles plus claires et l'abolition des politiques qui entravent la transparence, sont nécessaires pour garantir une protection adéquate de la vie privée. Les entreprises doivent aller au-delà des exigences légales minimales et adopter des pratiques proactives qui préservent la confidentialité des utilisateurs.

L'initiative du sénateur Ron Wyden met en lumière des problèmes de confidentialité cruciaux dans le monde numérique d'aujourd'hui. Les entreprises technologiques doivent prendre des mesures significatives pour garantir la protection des données de leurs utilisateurs et la transparence face aux demandes gouvernementales. Cette affaire souligne l'importance croissante de trouver un équilibre entre la sécurité nationale et le respect de la vie privée des individus dans un monde de plus en plus connecté.

Source : Lettre au Département de la Justice

Et vous ?

Comment les utilisateurs peuvent-ils se protéger contre les violations de leur vie privée par les notifications push ?

En quoi les révélations de Ron Wyden soulignent-elles l'équilibre délicat entre la sécurité et la protection de la vie privée des individus dans l'ère numérique ?

Quelles implications ces révélations pourraient-elles avoir sur la réglementation future des pratiques de collecte de données des gouvernements et des entreprises technologiques ?

Voir aussi :

Le mode Incognito ou « navigation privée » de Google n'est pas vraiment privé, Google est soupçonnée de pratiques trompeuses, selon une plainte

Les voitures connectées, un danger pour la vie privée selon une étude de Mozilla sur 25 marques de voitures. Activité sexuelle, poids, les données sensibles sont collectées et partagées

Si vous vous souciez de la vie privée, faut-il jeter vos appareils Amazon Alexa par la fenêtre ? L'équipe d'Alexa pourrait vous localiser