Le Royaume-Uni à l’avant-garde de la demande mondiale de données de notification
Une simple notification peut tranquillement cartographier vos habitudes, votre réseau et votre nom.

En 2023, nous avons expliqué comment les agences américaines ont utilisé les métadonnées des notifications push sur les smartphones à des fins de surveillance, en faisant pression sur des entreprises technologiques comme Apple et Google pour qu’elles leur communiquent des informations sur les utilisateurs. À la suite de l’enquête du sénateur Ron Wyden, Apple a révélé que la loi lui interdisait de divulguer cette pratique, qui soulève de graves préoccupations en matière de libertés civiles et d’ingérence gouvernementale.
Aujourd’hui, les demandes gouvernementales concernant les informations sur les utilisateurs liées au système de notification push d’Apple se sont poursuivies au cours du premier semestre 2024, le Royaume-Uni ayant soumis 141 demandes, malgré la taille relativement petite du pays, et les États-Unis ayant suivi avec 129 demandes.

L’Allemagne a également obtenu des données au cours de cette période. Singapour, malgré ses demandes, n’en a reçu aucune. Ces chiffres proviennent du dernier rapport de transparence d’Apple, qui met en lumière l’intérêt des gouvernements du monde entier pour un vecteur de surveillance moins connu.
Même certaines applications de protection de la vie privée peuvent être compromises par la surveillance au niveau des notifications push. De nombreuses applications doivent s’appuyer sur Apple ou Google pour envoyer des notifications, des services qui peuvent révéler des métadonnées essentielles telles que l’application qui a envoyé la notification, le moment où elle a été envoyée et la fréquence à laquelle elle l’a été.
Ces métadonnées peuvent être utilisées par les gouvernements pour déduire l’activité de l’utilisateur et ses liens sociaux, et même désanonymiser les utilisateurs. Elles contournent entièrement le chiffrement au niveau de l’application, en exploitant une couche sur laquelle l’utilisateur ou le développeur n’a aucun contrôle.
Le rapport d’Apple décrit les enjeux de ces demandes. Lorsque quelqu’un active les notifications pour une application, le système génère un « jeton de poussée » qui relie l’appareil et l’application à un compte Apple spécifique.
Selon l’entreprise, « les demandes de jeton de poussée sont basées sur un identifiant de jeton du service de notification de poussée d’Apple. Lorsque les utilisateurs autorisent une application installée à recevoir des notifications, un jeton de poussée est généré et enregistré pour ce développeur et cet appareil. Les demandes de jeton de poussée recherchent généralement des détails d’identification du compte Apple associé au jeton de poussée de l’appareil, tels que le nom, l’adresse physique et l’adresse électronique ».
Tant que les plateformes contrôlent l’infrastructure de notification et sont légalement tenues au secret, elles deviennent des partenaires silencieux d’un système qui compromet la vie privée, même pour ceux qui utilisent des outils conçus pour la protéger.
Les données relatives aux jetons de pression pouvaient être obtenues par le biais de citations à comparaître, une voie plus facile pour les forces de l’ordre, jusqu’à ce qu’Apple modifie sa politique à la fin de l’année 2023. À partir de ce mois de décembre, l’entreprise a commencé à exiger une ordonnance d’un juge avant de fournir ce type d’informations sur les utilisateurs.
Lire aussi : L’ère de l’identité numérique au Royaume-Uni commence cet été
Source : Reclaim The Net – Traduit par Anguille sous roche




