Les applications iPhone, notamment Facebook, LinkedIn, TikTok et X/Twitter, contournent les règles de confidentialité d’Apple pour collecter des données utilisateur via des notifications, selon des tests effectués par des chercheurs en sécurité de Mysk Inc., une société de développement d’applications. Les utilisateurs ferment parfois les applications pour les empêcher de collecter des données en arrière-plan, mais cette technique contourne cette protection. Les données ne sont pas nécessaires au traitement des notifications, ont déclaré les chercheurs, et semblent liées à l’analyse, à la publicité et au suivi des utilisateurs sur différentes applications et appareils.

Il est normal que les applications trouvent des opportunités pour collecter davantage de données, mais « nous avons été surpris d’apprendre que cette pratique est largement utilisée », a déclaré Tommy Mysk, qui a mené les tests avec Talal Haj Bakry. « Qui aurait cru qu’une action inoffensive aussi simple que rejeter une notification déclencherait l’envoi de nombreuses informations uniques sur l’appareil vers des serveurs distants ? C’est inquiétant quand on pense au fait que les développeurs peuvent faire cela à la demande.

Par exemple, les tests ont montré que lorsque vous interagissez avec une notification de Facebook, l’application collecte les adresses IP, le nombre de millisecondes écoulées depuis le redémarrage de votre téléphone, la quantité d’espace mémoire libre sur votre téléphone et une foule d’autres détails. La combinaison de telles données suffit à identifier une personne avec un haut niveau de précision. Les autres applications du test ont collecté des informations similaires. LinkedIn, par exemple, utilise les notifications pour connaître le fuseau horaire dans lequel vous vous trouvez, la luminosité de votre écran et l’opérateur de téléphonie mobile que vous utilisez, ainsi qu’une foule d’autres informations qui semblent spécifiquement liées aux campagnes publicitaires, a déclaré Mysk.

Ce n’est pas parce qu’une application peut collecter ces informations qu’elle les utilise.

Meta, propriétaire de Facebook, a déclaré que les conclusions de Mysk étaient une mauvaise interprétation. « Les résultats ne sont pas exacts. Les gens se connectent à notre application sur leur appareil et donnent l’autorisation d’activer les notifications », a déclaré Emil Vazquez, porte-parole de Meta. « Nous pouvons périodiquement utiliser ces informations, même lorsque l’application n’est pas en cours d’exécution, pour nous aider à fournir des notifications fiables et en temps opportun, à l’aide des API d’Apple. Cela est conforme à nos politiques. »

LinkedIn a partagé une déclaration similaire. “Nous n’utilisons pas les notifications comme moyen de collecter des données sur les membres à des fins publicitaires ou d’analyses associées, de suivi multi-appareils ou multi-applications”, a déclaré un porte-parole de LinkedIn. “Toutes les données liées aux notifications sont uniquement utilisées pour confirmer qu’une notification a été envoyée avec succès et ne sont jamais partagées en externe.” Apple, TikTok et X/Twitter n’ont pas immédiatement répondu aux questions de Gizmodo pour cet article.

Ces détails ne sont pas particulièrement sensibles par rapport à des éléments tels que les données de localisation, mais ils sont précieux à des fins publicitaires et à d’autres fins. Ce que beaucoup de gens ne réalisent pas, c’est que la publicité ciblée et autres atteintes à la vie privée numérique visent uniquement à découvrir votre identité. Les entreprises savent ce que vous faites sur leurs applications, mais elles ne savent pas toujours qui vous êtes, et les données sont bien moins utiles si vous ne savez pas à qui elles appartiennent. Si les entreprises ne peuvent pas vous identifier, elles ne peuvent pas vous cibler avec des publicités.

Apple fournit un numéro d’identification publicitaire spécial spécialement conçu pour faciliter la collecte de données et les publicités ciblées, mais des paramètres tels que celui de l’iPhone “Demander à l’application de ne pas suivre” Contrôlez le blocage de cet identifiant d’annonce. En théorie, cela est censé empêcher les entreprises de rassembler des informations sur vous et votre comportement provenant de différentes applications et d’autres parties d’Internet. Mais la prise d’empreintes digitales est quand même un moyen sournois de continuer à le faire.

Les applications peuvent collecter ce type de données sur vous lorsqu’elles sont ouvertes, mais fermer une application est censé couper le flux de données et empêcher l’exécution d’une application. Cependant, il semble que les notifications constituent une porte dérobée.

Apple fournit un logiciel spécial pour aider vos applications à envoyer des notifications. Pour certaines notifications, l’application peut avoir besoin d’émettre un son ou de télécharger du texte, des images ou d’autres informations. Si l’application est fermée, le système d’exploitation de l’iPhone permet à l’application de se réveiller temporairement pour contacter les serveurs de l’entreprise, vous envoyer la notification et effectuer toute autre opération nécessaire. La collecte de données repérée par Mysk s’est produite au cours de cette brève fenêtre.

“Ils peuvent intentionnellement envoyer une notification à un appareil ciblé simplement pour que l’application démarre en arrière-plan et renvoie les détails”, a déclaré Mysk. Ou si une entreprise comme TikTok ou X/Twitter souhaitait une mise à jour rapide des adresses IP de 100 000 personnes dont les applications sont fermées, une simple notification suffit. “C’est époustouflant”, a-t-il déclaré.

Il est tout à fait raisonnable qu’une application veuille analyser la manière dont les utilisateurs interagissent avec les notifications afin d’optimiser ses services. Cependant, Mysk a déclaré qu’il y avait plusieurs raisons de penser que ce n’était pas la raison pour laquelle les applications collectaient ces données.

D’une part, Apple donne des détails aux développeurs d’applications sur ce qui se passe avec les notifications directement, il n’est donc pas nécessaire de collecter des informations supplémentaires si vous savez ce qui s’est passé après avoir envoyé une requête ping à vos utilisateurs. De plus, une grande partie des données collectées par les applications ne semblent pas liées à l’analyse du fonctionnement des notifications, comme l’espace disque disponible de votre téléphone ou le temps écoulé depuis votre dernier redémarrage, a déclaré Mysk.

Au-delà de cela, d’autres entreprises gourmandes en données envoient des notifications sans se régaler de toutes ces autres informations. Lorsque Mysk a testé Gmail et YouTube, par exemple, les applications n’ont collecté que des données évidemment liées au traitement des notifications. Mysk a déclaré que si une entreprise comme Google peut vous envoyer une notification sans fouiner sur d’autres détails, cela suggère qu’il y a des arrière-pensées derrière la collecte de données qu’il a repérée.

Il existe quelques explications potentiellement innocentes au problème des données de notification. Par exemple, les développeurs laissent parfois dans leurs applications du vieux code qui exécute des fonctions dont les entreprises n’ont plus besoin. Il est théoriquement possible qu’une application comme LinkedIn soit configurée pour collecter des données qui ne sont utilisées à aucune fin. Les chercheurs ont cependant déclaré que c’était difficile à croire.

Un changement prochain dans les règles du système d’exploitation de l’iPhone pourrait améliorer la situation, mais il n’est pas clair si cela résoudra le problème. À partir du printemps 2024, les développeurs d’applications seront tenu d’expliquer pourquoi et comment ils utilisent certaines « API », qui, dans ce contexte, sont essentiellement des logiciels que les applications utilisent pour communiquer entre elles et avec le système d’exploitation de l’iPhone.

En théorie, cela pourrait obliger les entreprises à révéler pourquoi elles vous surveillent – ​​et si elles collectent des données à des fins illégitimes, elles devront peut-être arrêter. “La mauvaise nouvelle est qu’on ne sait pas exactement comment Apple va l’appliquer”, a déclaré Mysk.

Malheureusement, vous avez peut-être entendu dire que les grandes entreprises mentent parfois, ce qui ferait obstacle à cette solution, et Apple n’a pas un palmarès brillant d’appliquer des règles similaires.

