Apple et Google ont donné accès aux données de notifications de certains de leurs utilisateurs (pas nécessairement au contenu des notifications). C’est ce que révèle un sénateur américain, demandant à son gouvernement de laisser les entreprises être plus transparentes sur les informations qu’elles transmettent aux agences gouvernementales du monde entier.
Pour aller plus loin
Comment supprimer les notifications des applications sur Android ?
Un sénateur américain qui tire la sonnette d’alarme
C’est le sénateur Ron Wyden (membre du Parti démocrate) qui a adressé ce 6 décembre une lettre au ministère américain de la Justice. Il déclare qu’au printemps 2022, son bureau a reçu « une information selon laquelle les agences gouvernementales de pays étrangers exigeaient de Google et d’Apple des enregistrements de notifications « push » sur les smartphones. » Ces notifications peuvent notamment contenir tous les messages que vous recevez : SMS, WhatsApp, etc. Mais également les notifications envoyées par les applications avec lesquelles vous gérez vos objets connectés.
Ron Wyden dit avoir interrogé Apple et Google, qui ont répondu que les informations à propos de cette pratique ne pouvaient pas être divulguées au public par le gouvernement. Selon le sénateur, les notifications envoyées par les applications « transitent par une sorte de bureau de poste numérique géré par le fournisseur du système d’exploitation du téléphone ». Apple pour les iPhone et Firebase Cloud Messaging de Google pour les smartphones Android. Si cela fonctionne ainsi, c’est afin de garantir une faible latence des notifications. Il ne semble pas exister d’autres solutions fiables à destination des développeurs. Chez Google, cela avait déjà causé des soucis de protection des données et surtout de consentement de la collecte.
Les gouvernements peuvent lire les messages que vous recevez
C’est là qu’est la faille selon le sénateur : comme Apple et Google peuvent être obligés de livrer des informations aux gouvernements du monde entier sur leurs utilisateurs, ils peuvent aussi livrer le contenu des notifications. Ce n’est pas nécessairement le cas : les données collectées par les deux entreprises contiennent les applications concernées, l’horodatage des notifications, les comptes et smartphones associés. Mais cela peut aussi contenir du contenu non chiffré. A priori, si vous utilisez une application de messagerie chiffrée de bout en bout comme WhatsApp, ou plus récemment Messenger, même en ayant accès aux notifications, Apple et Google ne peuvent pas en connaître le contenu.
Pour Ron Wyden, « Apple et Google sont dans une position unique pour faciliter la surveillance gouvernementale ». Il demande que les deux sociétés soient « autorisées à faire preuve de transparence quant aux demandes légales qu’ils reçoivent, en particulier de la part de gouvernements étrangers, tout comme les entreprises informent régulièrement les utilisateurs d’autres types de demandes gouvernementales de données. » Une source proche du dossier interrogée par Reuters a confirmé le fait que des agences gouvernementales étrangères ont demandé des métadonnées de notifications à Google et à Apple. Cela a pu permettre de relier des utilisateurs anonymes d’applications de messagerie à des comptes Google/Apple spécifiques. On ne sait toutefois pas depuis combien de temps cette méthode est utilisée.
Le sénateur ne demande pas de mettre fin aux divulgations de données personnelles, mais aspire à davantage de transparence. Il souhaite que ces entreprises puissent publier des statistiques sur le nombre de demandes reçues et surtout qu’elles informent les clients dont les données ont été surveillées. Ron Wyden réclame formellement au gouvernement américain « d’abroger ou de modifier toute politique qui entrave cette transparence. » Ce dernier n’a pas commenté ce type de surveillance ni s’il empêchait les deux entreprises d’en parler. Nous ne connaissons pas non plus les gouvernements ayant usé de cette technique, mais la source de l’agence de presse a indiqué qu’il s’agissait notamment de démocraties alliées des États-Unis.
Le gouvernement américain aussi utilise cette méthode de surveillance : l’exemple de l’assaut du Capitole
Selon un examen des archives judiciaires par le Washington Post, la technique « a été utilisée pour recueillir des informations sur les émeutiers du Capitole américain le 6 janvier 2021 et sur d’autres suspects criminels. » Le journal américain a retrouvé plus de deux douzaines de demandes de mandat de perquisition ainsi que d’autres documents dans les dossiers judiciaires liés aux demandes fédérales de données de notifications push. Neuf d’entre elles concernaient des enquêtes sur des émeutiers de l’assaut.
D’ailleurs, elles n’étaient pas adressées qu’à Apple et Google : Amazon et Microsoft sont également mentionnés. L’un des émeutiers, Josiah Colt en fait partie. Dans une demande, un agent du FBI indiquait que les données de notifications push de son smartphone permettraient de l’identifier. On ignore quel rôle a pu jouer la méthode dans sa condamnation à 15 mois de prison.
Apple et Google ne démentent pas transmettre les notifications aux gouvernements
Dans des communiqués, Apple et Google n’ont pas démenti les propos de Ron Wyden. Comme le rapporte Reuters, « Apple a déclaré que la lettre de Wyden leur donnait l’ouverture dont ils avaient besoin pour partager plus de détails avec le public sur la façon dont les gouvernements surveillaient les notifications push. »
L’entreprise reconnaît que le gouvernement fédéral leur interdisait de partager cette méthode de surveillance avec ses clients. C’est pourquoi elle va mettre à jour ses rapports de transparence en intégrant ce type de demandes. Sa notice de processus légaux a été mise à jour : on peut y lire que « l’identifiant Apple associé à un jeton APNS [Apple Push Notification Service] enregistré peut être obtenu par le biais d’une assignation à comparaître ou d’une procédure judiciaire plus approfondie. » Le service APN est activé sur les applications pour lesquelles les utilisateurs ont autorisé les notifications push.
Quant à Google, elle partage « l’engagement de Wyden à tenir les utilisateurs informés de ces demandes. » L’étude du dernier rapport de transparence par le Washington Post révèle que les États-Unis ont cité le Foreign Intelligence Surveillance Act pour demander jusqu’à 500 demandes durant la première moitié de 2022. Cela permet de formuler des demandes d’« informations non liées au contenu », une catégorie qui comprend les données de notifications push.
Ces 500 demandes couvriraient jusqu’à 36 000 comptes Google. Des demandes formulées sur ordonnance d’un tribunal, sous contrôle judiciaire. Cela signifie que les enquêteurs fédéraux ont réussi à convaincre les juges que les données demandées étaient pertinentes et importantes dans le cadre d’une enquête criminelle.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix