Apple l'affirme, les gouvernements surveillent les utilisateurs via les notifications (màj)
- Alban Martin
- Il y a 12 mois (Màj il y a 12 mois)
- 💬 10 coms
- 🔈 Écouter
Certains gouvernements surveillent apparemment les utilisateurs de smartphones (donc 90 % des habitants) via les notifications push qui transitent par les serveurs d'Apple et de Google, les deux principaux acteurs du marché. Selon un sénateur américain, Ron Wyden, les sociétés en question reçoivent régulièrement des demandes en ce sens de la part de fonctionnaires étrangers. Un pavé dans la marre.
Attention aux notifications
Dans une lettre adressée au ministère de la Justice, le sénateur Wyden a déclaré que des fonctionnaires étrangers demandaient régulièrement aux géants de la technologie de leur fournir des données afin de suivre les smartphones. Le trafic provenant des applications qui envoient des notifications push place les entreprises "dans une position unique pour faciliter la surveillance par le gouvernement de la manière dont les utilisateurs se servent d'applications particulières", selon ce sénateur. Il a demandé au ministère de la Justice "d'abroger ou de modifier toute politique" qui entrave les discussions publiques sur l'espionnage des notifications push.
Dans une déclaration transmise à Reuters, Apple a indiqué que la lettre de M. Wyden lui donnait l'occasion de partager avec le public plus de détails sur la manière dont les gouvernements surveillaient les notifications push, sans toutefois expliquer le cas présent.
Sur ce cas, le gouvernement fédéral nous a interdit de partager la moindre information. Maintenant que cette méthode a été rendue publique, nous mettons à jour nos rapports de transparence pour détailler ce type de demandes.
La lettre de Wyden indique qu'un lanceur d'alerte est à l'origine de l'information sur la surveillance. Une autre source a confirmé que des agences gouvernementales étrangères et américaines ont demandé à Apple et à Google des métadonnées relatives aux notifications push. Ces données auraient été utilisées pour tenter de relier des utilisateurs anonymes d'applications de messagerie à des comptes Apple ou Google spécifiques. De quoi cibler des personnes sur WhatsApp ou Telegram par exemple. Ces messageries chiffrées de bout en bout ne laissent aucune donnée visible de l'extérieur, mais ce genre de procédé peut permettre d'avoir des informations sensibles. Les messages contenus dans les notifications sont la plupart du temps en clair.
La source de Reuters n'a pas voulu identifier les gouvernements à l'origine des demandes de données, mais les a décrits comme des "démocraties alliées aux États-Unis". La France est un allié, tout comme de nombreux États. De plus, elle n'a pas précisé depuis combien de temps ces demandes étaient en cours.
Apple conseille aux développeurs de ne pas inclure de données sensibles dans les notifications et de chiffrer toute donnée avant de l'ajouter à une notification, ce que font les banques en général avec des méthodes asymétriques (RSA par exemple). Toutefois, cela nécessite une action de la part des développeurs. De même, les métadonnées (telles que les applications qui envoient des notifications et leur fréquence) ne sont pas chiffrées, ce qui pourrait permettre à toute personne ayant accès à ces informations de connaître l'utilisation des applications par les utilisateurs.
Avec l'app iSoft, vous ne risquez rien, seules les données des articles sont envoyées. Aucune donnée concernant les utilisateurs n'y figurent.
Mise à jour du 7/12 :
Apple a mis à jour ses Legal Process Guidelines afin de refléter l'obligation légale de l'entreprise de se conformer aux demandes des forces de l'ordre concernant les informations de l'identifiant Apple associées à son service de notification push.
Dans la section intitulée "Informations disponibles auprès d'Apple", Apple a ajouté une liste alphabétique avec la sous-section "AA. Apple Push Notification Service (APNs)", qui se lit comme suit :
Lorsque les utilisateurs autorisent une application qu'ils ont installée à recevoir des notifications push, un jeton Apple Push Notification Service (APNs) est généré et enregistré auprès de ce développeur et de cet appareil. Certaines applications peuvent avoir plusieurs jetons APNs pour un compte sur un appareil afin de différencier les messages et le multimédia.
L'identifiant Apple associé à un jeton APNs enregistré peut être obtenu par le biais d'une citation à comparaître ou d'une procédure judiciaire plus importante.