Apple révèle un « espionnage par notification push » par des gouvernements étrangers

Marion Legrand

Apple a confirmé que des gouvernements étrangers se livraient à ce qui a été décrit comme un « espionnage par notification push », précisant que l’entreprise n’était pas autorisée auparavant à divulguer cette pratique.

Les gouvernements ont servi à la fois Apple et Google avec des ordonnances juridiques secrètes pour transmettre les détails des notifications push envoyées aux iPhones et aux smartphones Android…

Espionnage par notifications push

Le problème de la confidentialité est apparu après que le sénateur Roy Wyden – membre de la commission sénatoriale du renseignement – ​​ait reçu une information, et a décidé d’enquêter.

Au printemps 2022, mon bureau a reçu une information selon laquelle les agences gouvernementales de pays étrangers exigeaient de Google et d’Apple des enregistrements de notifications « push » sur les smartphones. Mes collaborateurs enquêtent sur cette astuce depuis un an (…)

Les notifications push (…) ne sont pas envoyées directement du fournisseur d’applications aux smartphones des utilisateurs. Au lieu de cela, ils transitent par une sorte de bureau de poste numérique géré par le fournisseur du système d’exploitation du téléphone. Pour les iPhones, ce service est fourni par le service de notification push d’Apple ; pour les téléphones Android, il s’agit de Firebase Cloud Messaging de Google. Ces services garantissent une livraison rapide et efficace des notifications, mais cela signifie également qu’Apple et Google servent d’intermédiaires dans le processus de transmission.

Comme pour toutes les autres informations que ces sociétés stockent pour ou sur leurs utilisateurs, étant donné qu’Apple et Google fournissent des données de notification push, ils peuvent être secrètement contraints par les gouvernements à transmettre ces informations.

Wyden dit qu’il a écrit à Apple et à Google, leur demandant de confirmer que cela se produisait, et tous deux lui ont dit que les informations à ce sujet étaient « interdites de diffusion publique » par le gouvernement américain.

Surtout, cela signifie qu’Apple n’a pas été en mesure de révéler cette pratique dans ses rapports annuels de transparence, destinés à informer les gens sur les données qu’il fournit aux gouvernements et aux forces de l’ordre.

Wyden a maintenant rendu l’affaire publique

Le sénateur Wyden a maintenant écrit une lettre ouverte au ministère américain de la Justice, lui demandant d’annuler l’exigence de secret.

Apple et Google devraient être autorisés à faire preuve de transparence quant aux demandes légales qu’ils reçoivent, en particulier de la part de gouvernements étrangers, tout comme les entreprises informent régulièrement les utilisateurs d’autres types de demandes gouvernementales de données. Ces entreprises devraient être autorisées à révéler de manière générale si elles ont été contraintes de faciliter cette pratique de surveillance, à publier des statistiques globales sur le nombre de demandes qu’elles reçoivent et, à moins d’être temporairement bâillonnées par un tribunal, à informer des clients spécifiques des demandes concernant leurs données. Je demanderais au DOJ d’abroger ou de modifier toute politique qui entrave cette transparence.

C’est une décision judicieuse, car en mettant les informations dans le domaine public, cela signifie que les exigences de confidentialité précédemment imposées à Apple et Google ne s’appliquent plus. Cela signifie que – indépendamment de de la réponse du DOJ – Apple peut désormais inclure les données dans son rapport de transparence. En effet, l’entreprise a déclaré Reuters qu’il le fait déjà.

« Dans ce cas, le gouvernement fédéral nous a interdit de partager des informations », a indiqué la société dans un communiqué. « Maintenant que cette méthode est devenue publique, nous mettons à jour nos rapports de transparence pour détailler ce type de demandes. »

Que peuvent révéler les données push ?

Le premier point important à souligner est que, si vous utilisez des services de messagerie cryptés de bout en bout comme iMessage et WhatsApp, ce cryptage protège toujours les messages, même si vous avez configuré votre iPhone pour prévisualiser le contenu.

Votre iPhone doit toujours effectuer le décryptage dès réception, Apple le ferait donc pas avoir le contenu du message à transmettre à tout gouvernement qui l’exigerait.

Mais les données push peuvent encore en révéler beaucoup sur vous. Même les notifications push d’applications aussi inoffensives que les services de livraison de nourriture peuvent révéler la provenance d’une livraison, et donc votre position approximative. Une notification Uber peut contenir un message d’un chauffeur vous indiquant où vous rencontrer. Et ainsi de suite.

Les modèles de données pourraient également révéler beaucoup de choses. Par exemple, si un gouvernement étranger obtenait vos données push iMessage – et celles de l’un de vos contacts – alors même sans le contenu réel du message, il pourrait voir que vous échangeiez beaucoup de messages un jour donné. Cela pourrait être lié à des événements connus pour tirer des conclusions sur la probable contenu de ces messages.

Par exemple, imaginez un journaliste américain échangeant des messages avec un lanceur d’alerte chinois sur des violations des droits de l’homme. Un rapport sur les abus paraît aujourd’hui, et les données push montrent que la source et le journaliste ont échangé de nombreux messages hier. Cela pourrait facilement suffire à confirmer l’origine de la fuite.

Ce qui va se passer maintenant?

Maintenant que cette pratique est publique, Apple va commencer à inclure les données dans ses rapports de transparence. Même si ces informations ne révèlent pas les cibles d’une telle surveillance, nous pourrons au moins voir l’ampleur du problème et les États-nations impliqués.

Tu peux lisez la lettre de Wyden ici.

Photo: Rue Jamie/Unsplash

FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.

Laisser un commentaire