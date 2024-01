En décembre dernier, nous avons appris que les gouvernements et les forces de l’ordre pouvaient espionner l’activité de votre smartphone en demandant vos données de notification push à Apple ou Google. Très cool et indifférent ! Mais il s’avère que les autorités ne sont pas les seules à pouvoir récupérer vos données de notification push : les applications le font également, sans que vous n’ouvriez jamais ladite application en premier lieu. Mais vous pouvez y mettre un terme.

Comment les applications vous espionnent via vos notifications push

Comme l’explique le duo de chercheurs en sécurité Mysk dans cette vidéo, les applications profitent d’une faille dans les notifications push iOS pour récupérer les données personnelles de votre iPhone et les renvoyer à des serveurs distants. Voici comment cela fonctionne : iOS permet aux applications de se réveiller en arrière-plan lorsque des notifications push arrivent afin de permettre à l’application de décrypter la charge utile (le message contenu dans la notification) ou de télécharger les données jointes à l’alerte. Mais selon Mysk, de nombreuses applications « gourmandes en données » profitent de cette opportunité pour envoyer des analyses de données à leurs serveurs, plutôt que de simplement passer des appels réseau pour personnaliser la notification, comme on pourrait s’y attendre.

En plus d’être une pratique sommaire, cet abus du temps d’arrêt des notifications push peut en fait être utilisé pour « empreintes digitales » (c’est-à-dire suivre) les utilisateurs. Mysk montre comment, lorsqu’une notification TikTok arrive, l’application envoie immédiatement des analyses de données. Lorsque Mysk efface la notification, TikTok envoie plus de données, y compris la disponibilité du système (depuis combien de temps iOS est opérationnel sur votre iPhone). Cela signifie que TikTok peut voir combien de temps s’est écoulé depuis que vous avez redémarré votre iPhone, même si vous n’avez jamais réellement ouvert l’application.

Quelque chose de similaire se produit avec les notifications Facebook, X, LinkedIn et Bing : lorsque Mysk efface ces alertes, l’application supprime la disponibilité de l’iPhone, en plus d’autres informations sur l’appareil. Comme expliqué dans un post sur X, les autres données de l’appareil incluent les paramètres régionaux (les paramètres de langue de votre appareil), la langue du clavier, la mémoire disponible, l’état de la batterie, le modèle de l’appareil et la luminosité de l’écran, entre autres. Théoriquement, dit Mysk, ces données peuvent être utilisées pour suivre les activités d’un utilisateur sur iOS sans que vous ayez à ouvrir l’application concernée.

Comment empêcher les applications de suivre votre activité via des notifications push

À l’heure actuelle, la seule solution connue est la plus évidente : désactiver les notifications push pour toutes les applications. C’est la même solution que nous avons proposée lorsque nous avons appris que les forces de l’ordre et les gouvernements étaient en mesure de demander des données de notification push aux utilisateurs à Apple et à Google : il suffit de couper l’accès aux données que ces entreprises souhaitent tant.

Bien sûr, c’est plus facile à dire qu’à faire. Les notifications peuvent être utiles, en particulier avec les applications de messagerie qui vous avertissent lorsqu’un nouveau texte arrive. La désactivation des notifications push pour ces applications vous expose au risque de prendre du retard dans les discussions de groupe et les discussions personnelles, ce qui va à l’encontre de l’objectif premier de transporter un smartphone.

Cela signifie que cela dépend vraiment de vous : quel niveau de suivi des données pouvez-vous tolérer ? Ma recommandation est de désactiver les notifications pour toutes les applications que vous pouvez vous permettre. Je garde les notifications Snapchat désactivées à tout moment, par exemple, parce que je peux vérifier manuellement l’application pour de nouveaux clichés (un avantage supplémentaire : je ne peux pas rester les notifications odieuses et non pertinentes avec lesquelles Snapchat adore me spammer, et non, je ne les reçois pas). Je garde les notifications activées pour mes applications de messagerie, car même si Meta récupère mes données, je ne veux pas manquer les nouvelles alertes de mes amis et de ma famille.

Espérons qu’Apple corrigera bientôt cette faille de confidentialité et de sécurité et empêchera les applications de divulguer ces informations chaque fois qu’une notification push arrive. En attendant, notre seule option est d’empêcher ces applications de nous alerter.