Le sénateur américain Ron Wyden a révélé que des gouvernements espionnent secrètement les utilisateurs d'Apple et de Google en suivant l'activité des applications via les notifications push. Ces notifications, qui fournissent des alertes aux utilisateurs, passent par les serveurs des systèmes d'exploitation, permettant aux gouvernements d'accéder à des métadonnées et parfois même au contenu non chiffré. Wyden appelle à la transparence, demandant aux entreprises de divulguer les demandes gouvernementales et soulignant le besoin de règles plus claires. Apple a mis à jour son rapport de transparence en réponse aux révélations, tandis que Google a souligné son engagement envers la divulgation d'informations aux utilisateurs. Wyden encourage également une notification aux clients concernés par de telles demandes, soulignant l'importance de protéger la vie privée des utilisateurs.
Apple aurait confirmé que le gouvernement fédéral américain « interdisait » à l'entreprise « de partager toute information », mais maintenant que Wyden a dénoncé les autorités fédérales, Apple a mis à jour ses rapports de transparence et « détaillera ce type de demandes » dans une section distincte sur les notifications push dans son prochain rapport.
Un porte-parole de Google a déclaré que Google était « la première grande entreprise à publier un rapport de transparence public indiquant le nombre et le type de demandes gouvernementales concernant les données des utilisateurs que nous recevons, y compris les demandes mentionnées par le sénateur Wyden ». Cela signifie que le rapport de transparence de Google, documente déjà les demandes de données de notification push dans les données agrégées de toutes les demandes gouvernementales d'informations sur les utilisateurs. Le porte-parole de Google a déclaré que l'entreprise partageait « l'engagement du sénateur à tenir les utilisateurs informés de ces demandes ».
Envoyé par Le sénateur américain Ron Wyden
Monsieur le Procureur général Garland,
Je souhaite solliciter du ministère de la justice l'autorisation permettant à Apple et Google d'informer leurs clients ainsi que le grand public des demandes d'enregistrement des notifications des applications de smartphones. Au cours du printemps 2022, mon bureau a été informé de demandes émanant d'agences gouvernementales étrangères, sollicitant auprès de Google et Apple des enregistrements des notifications "push" de smartphones. Mon équipe a enquêté sur cette information au cours de l'année écoulée, collaborant avec les deux entreprises. En réponse, Apple et Google ont précisé que les détails concernant cette pratique ne pouvaient être divulgués publiquement en raison de directives gouvernementales.
Les notifications push sont des alertes instantanées envoyées par les applications aux utilisateurs de smartphones, telles qu'un nouveau message texte ou une mise à jour. Ces notifications ne sont pas transmises directement par le fournisseur de l'application, mais passent par un service géré par le fournisseur du système d'exploitation du téléphone, tels que le Push Notification Service d'Apple pour les iPhones et le Firebase Cloud Messaging de Google pour les téléphones Android. Bien que cela garantisse une transmission efficace des notifications, cela place Apple et Google en tant qu'intermédiaires dans le processus.
En tant que détenteurs des données de notifications push, Apple et Google pourraient être contraints par des gouvernements à divulguer ces informations, ce qui soulève des préoccupations liées à la vie privée des utilisateurs. Les développeurs d'applications n'ont guère d'alternatives, étant obligés d'utiliser les services respectifs d'Apple et de Google pour assurer la transmission fiable des notifications push. Ainsi, ces deux entreprises occupent une position unique pour faciliter la surveillance gouvernementale de l'utilisation des applications par les utilisateurs.
Je plaide en faveur de la transparence de la part d'Apple et de Google concernant les demandes légales, notamment celles provenant de gouvernements étrangers, à l'instar de leur pratique en matière d'autres demandes gouvernementales de données. Ces entreprises devraient pouvoir informer de manière générale sur les contraintes subies pour faciliter cette surveillance, publier des statistiques globales sur le nombre de demandes reçues, et, à moins d'une contrainte juridique, notifier spécifiquement les clients concernés par les demandes de données. Je demande au ministère de la justice de réviser ou d'amender toute politique entravant cette transparence.
Je vous remercie de l'attention accordée à cette question urgente. Pour toute question ou clarification, veuillez contacter Chris Soghoian dans mon bureau.
Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées.
Je souhaite solliciter du ministère de la justice l'autorisation permettant à Apple et Google d'informer leurs clients ainsi que le grand public des demandes d'enregistrement des notifications des applications de smartphones. Au cours du printemps 2022, mon bureau a été informé de demandes émanant d'agences gouvernementales étrangères, sollicitant auprès de Google et Apple des enregistrements des notifications "push" de smartphones. Mon équipe a enquêté sur cette information au cours de l'année écoulée, collaborant avec les deux entreprises. En réponse, Apple et Google ont précisé que les détails concernant cette pratique ne pouvaient être divulgués publiquement en raison de directives gouvernementales.
Les notifications push sont des alertes instantanées envoyées par les applications aux utilisateurs de smartphones, telles qu'un nouveau message texte ou une mise à jour. Ces notifications ne sont pas transmises directement par le fournisseur de l'application, mais passent par un service géré par le fournisseur du système d'exploitation du téléphone, tels que le Push Notification Service d'Apple pour les iPhones et le Firebase Cloud Messaging de Google pour les téléphones Android. Bien que cela garantisse une transmission efficace des notifications, cela place Apple et Google en tant qu'intermédiaires dans le processus.
En tant que détenteurs des données de notifications push, Apple et Google pourraient être contraints par des gouvernements à divulguer ces informations, ce qui soulève des préoccupations liées à la vie privée des utilisateurs. Les développeurs d'applications n'ont guère d'alternatives, étant obligés d'utiliser les services respectifs d'Apple et de Google pour assurer la transmission fiable des notifications push. Ainsi, ces deux entreprises occupent une position unique pour faciliter la surveillance gouvernementale de l'utilisation des applications par les utilisateurs.
Je plaide en faveur de la transparence de la part d'Apple et de Google concernant les demandes légales, notamment celles provenant de gouvernements étrangers, à l'instar de leur pratique en matière d'autres demandes gouvernementales de données. Ces entreprises devraient pouvoir informer de manière générale sur les contraintes subies pour faciliter cette surveillance, publier des statistiques globales sur le nombre de demandes reçues, et, à moins d'une contrainte juridique, notifier spécifiquement les clients concernés par les demandes de données. Je demande au ministère de la justice de réviser ou d'amender toute politique entravant cette transparence.
Je vous remercie de l'attention accordée à cette question urgente. Pour toute question ou clarification, veuillez contacter Chris Soghoian dans mon bureau.
Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées.
Comment fonctionnent les notifications push ?
La notification push est un système basé sur l'abonnement. Votre smartphone s'abonne à un canal et tout doit passer par les serveurs du constructeur du smartphone. Par « serveur du constructeur », on entend Apple si vous avez un iPhone ou Google si vous avez un téléphone Android. Lorsque l'application veut envoyer une notification push même lorsqu'elle est fermée, c'est le serveur de l'application qui déclenche une notification en envoyant l'information aux serveurs du constructeur du smartphone. Apple ou Google peuvent donc potentiellement lire vos notifications push ou au moins savoir que vous recevez des données d'une application.
Ne confondez pas les notifications push avec les notifications classiques. Une application ou votre navigateur web peut également envoyer des notifications lorsqu'il est ouvert. Ces notifications régulières n'envoient pas de données à des serveurs. Seules les notifications push, qui peuvent déclencher des notifications même lorsque l'application est fermée, utilisent des serveurs externes.
Les services qui utilisent cette technologie ont souvent oublié d'en informer les utilisateurs. On peut encore trouver des informations à ce sujet dans certaines politiques de confidentialité. Par exemple, Microsoft a ajouté un paragraphe sur les notifications push dans sa déclaration de confidentialité.
Envoyé par Microsoft
Pour vous informer des appels entrants, des chats et autres messages, Teams utilise le service de notification de votre appareil. Pour de nombreux appareils, ces services sont fournis par une autre société. Pour vous dire qui vous appelle, par exemple, ou pour vous donner les premiers mots d'une nouvelle discussion, Teams doit informer le service de notification afin qu'il puisse vous envoyer la notification. La société qui fournit le service de notification sur votre appareil utilisera ces informations conformément à ses propres conditions et à sa politique de confidentialité. Microsoft n'est pas responsable des données collectées par la société fournissant le service de notification
Selon David Libeau, les développeurs n'ont peut-être pas d'autre choix que de supprimer entièrement les notifications push s'ils veulent éviter d'envoyer des données personnelles à Apple ou à Google. Du point de vue du développeur, il est tout simplement impossible d'avoir des notifications push sans utiliser les serveurs du constructeur du smartphone, car l'application ne peut utiliser que les serveurs de notifications push fournis par le smartphone.
Appel à la Transparence d'Apple et Google
Le geste du sénateur américain Ron Wyden pour révéler que des gouvernements espionnent secrètement les utilisateurs d'Apple et de Google à travers les notifications push est louable. La protection de la vie privée dans un monde numérique est devenue une préoccupation majeure, et mettre en lumière de telles pratiques est essentiel pour susciter une réflexion critique et promouvoir la transparence.
La demande de Wyden en faveur de la transparence de la part d'Apple et de Google est...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.