Les gouvernements peuvent espionner vos notifications push

Si je vous disais que des gouvernements vous espionnent par l'intermédiaire de votre smartphone, seriez-vous surpris ? Probablement pas. Nous savons tous que ces petits miroirs noirs sont des cauchemars pour la vie privée, même avec les nombreuses fonctions de protection des données qu'Apple et Google ont ajoutées au fil des ans.

Cependant, vous serez probablement surpris d'apprendre que les gouvernements ne suivent pas nécessairement votre position grâce au GPS de votre téléphone ou qu'ils n'écoutent pas vos appels téléphoniques (mais qui sait) : Nous savons maintenant qu'ils vous espionnent par le biais de vos notifications push, entre autres.

Comment les gouvernements volent les données de vos notifications push

Si nous sommes au courant, c'est grâce à Ron Wyden. Le sénateur de l'Oregon a envoyé mercredi une lettre au ministère de la justice (DOJ) pour lui demander de laisser Apple et Google avertir leurs clients des demandes d'informations sur l'utilisation de leur smartphone.

Dans cette lettre, M. Wyden explique que son bureau a reçu une information au printemps 2022 selon laquelle des gouvernements étrangers exigeaient d'Apple et de Google qu'ils leur remettent les enregistrements des notifications push des utilisateurs. Depuis, le bureau de M. Wyden a enquêté sur la question : Lorsqu'il a contacté Apple et Google au sujet de cette affirmation, les entreprises ont toutes deux répondu que le gouvernement fédéral les avait empêchées de commenter cette pratique. Cela fait froid dans le dos.

Comme l'explique la lettre, les notifications push ne constituent pas une connexion individuelle entre votre smartphone et l'application ou le service qui envoie l'alerte. Ces notifications doivent d'abord passer par les serveurs d'Apple et de Google : Du côté d'Apple, il s'agit d'Apple Push Notification Service, tandis que Google utilise Firebase Cloud Messaging. Toutes les notifications push qui dépendent d'une connexion internet passent par ces serveurs avant d'arriver sur votre iPhone ou votre Android, ce qui signifie qu'elles sont toutes susceptibles de faire l'objet de ce débordement de la part des agences gouvernementales.

Ces notifications push contiennent également un grand nombre de données. Lorsqu'Apple et Google reçoivent des données de notification push sur leurs serveurs, ils interceptent les métadonnées (données relatives à l'application qui reçoit la notification push), ainsi que des détails sur le téléphone et le compte auxquels la notification appartient. Si Duolingo essaie d'envoyer une notification à "l'iPhone 14 Pro de Jake" le jeudi à 10 heures, les gouvernements qui demandent mes informations de notification push à Apple pourraient être en mesure de voir exactement cela.

C'est le moment idéal pour vous implorer d'utiliser des services de messagerie cryptée pour vos besoins en matière d'envoi de messages. Le contenu chiffré n'apparaît pas dans les données que les tiers reçoivent d'Apple et de Google, de sorte que les gouvernements ne sont pas en mesure de lire vos iMessages, vos textes RCS ou vos alertes WhatsApp, par exemple. Cependant, s'ils interceptent des notifications push provenant d'alertes non chiffrées, comme des messages envoyés par SMS ou un DM Instagram non chiffré, ils pourraient être en mesure de les voir comme faisant partie des données qu'ils obtiennent. Les secrets que vous envoyez par SMS au moyen de méthodes non cryptées sont conservés par vous, votre ami et les gouvernements du monde entier.

Selon Wired, les gouvernements et les organismes chargés de l'application de la loi qui souhaitent obtenir ces données doivent d'abord récupérer votre "jeton" de notification push auprès d'un développeur d'application. Les applications que vous téléchargez sur vos appareils vous attribuent un jeton qui vous connecte à leurs notifications push. Le gouvernement peut ensuite présenter votre jeton à Apple ou à Google pour demander des informations sur le compte associé à ce jeton. Cela s'est déjà produit aux États-Unis : En 2021, dans une affaire liée au 6 janvier, le FBI a demandé les données de notification push de deux comptes Meta. Meta n'a pas répondu à la demande de commentaire de Wired.

Wyden implore le DOJ de permettre à Apple et Google d'être plus transparents sur ces demandes auprès du public. Apple, pour sa part, affirme que cette lettre l'autorise désormais à rendre cette pratique plus publique, même s'il reste à voir dans quelle mesure elle le sera.

Ce que vous pouvez faire pour protéger vos données contre les espions des notifications push

À ce stade, les détails entourant cette pratique sont encore flous, mais cela ne signifie pas que nous devrions rester les bras croisés et attendre qu'Apple et Google fassent des déclarations.

Si vous voulez aller à l'extrême, vous devriez désactiver les notifications push pour toutes vos applications. Je suis un fervent partisan de la désactivation des notifications pour presque toutes les applications, à l'exception de celles dont vous avez réellement besoin, et les dernières nouvelles ne font que renforcer ma position. Il n'y a absolument aucune raison pour que les gouvernements, qu'ils soient étrangers ou nationaux, soient autorisés à voir ce que mes applications me notifient, mais il est particulièrement flagrant de les autoriser à le faire lorsqu'il s'agit simplement de Snapchat qui me demande désespérément d'ouvrir l'application.

Je pense que vous constaterez que 90 % des applications qui vous envoient des alertes sur votre iPhone ou votre Android sont de toute façon des conneries, alors les désactiver vous permettra d'avoir l'esprit tranquille et de renforcer votre vie privée. Bien entendu, la désactivation des notifications pour certaines applications peut se retourner contre vous : Vous risquez de prendre du retard dans les discussions de groupe si vous désactivez les notifications de vos applications de messagerie, et vous risquez de manquer des réunions et des rendez-vous si vous désactivez les notifications de votre calendrier. (Désolé, patron.)

En fin de compte, il s'agit, comme toujours, de trouver un équilibre entre la protection de la vie privée et la commodité. Même avec les nouvelles d'aujourd'hui, j'aurais du mal à désactiver les notifications de Messages, même si iMessage est crypté. En revanche, je suis plus qu'heureux de pouvoir désactiver d'autres applications, afin de pouvoir les rattraper à mon rythme. (Je te regarde, Snapchat).

Cela dit, la solution globale devra être trouvée par des forces plus importantes. Vous ne devriez pas avoir à désactiver les notifications pour préserver votre vie privée, et les gouvernements ne devraient pas être autorisés à demander ces informations de toute façon. Espérons que la lettre du sénateur Wyden fera évoluer les choses à Washington.