En décembre dernier, nous avons appris que les gouvernements et les agences d’application de la loi pouvaient espionner votre activité sur smartphone en demandant vos données de notification push à Apple ou Google. Très cool et peu préoccupant ! Mais il s’avère que ce ne sont pas seulement les autorités qui peuvent extraire vos données de notification push : les applications le font aussi, sans que vous n’ouvriez jamais ladite application. Mais vous pouvez y mettre un terme.
Comment les applications vous espionnent à travers vos notifications push
Comme l’explique le duo de recherche en sécurité Mysk dans cette vidéo, les applications profitent d’une faille dans les notifications push iOS pour extraire des données personnelles sur votre iPhone et les renvoyer à des serveurs distants. Voici comment cela fonctionne : iOS permet aux applications de s’activer en arrière-plan lorsque des notifications push arrivent, afin de permettre à l’application de déchiffrer la charge utile (le message contenu dans la notification) ou de télécharger des données jointes à l’alerte. Mais selon Mysk, de nombreuses applications “avidement de données” utilisent cela comme une occasion d’envoyer des analyses de données à leurs serveurs, plutôt que de simplement faire des appels réseaux pour personnaliser la notification, comme cela serait normalement attendu.
En plus d’être une pratique douteuse, cet abus au moment où les notifications push ne sont pas utilisées peut en fait être utilisé pour “identifier” (c’est-à-dire suivre) les utilisateurs. Mysk démontre que lorsqu’une notification TikTok arrive, l’application envoie immédiatement des analyses de données. Lorsque Mysk efface la notification, TikTok envoie plus de données, y compris le temps de fonctionnement du système (combien de temps iOS a été allumé sur votre iPhone). Cela signifie que TikTok peut voir combien de temps s’est écoulé depuis que vous avez redémarré votre iPhone, même si vous n’avez jamais ouvert l’application.
Quelque chose de similaire se produit avec les notifications de Facebook, X, LinkedIn et Bing : lorsque Mysk efface ces alertes, l’application extrait le temps de fonctionnement de l’iPhone, en plus d’autres informations sur l’appareil. Comme expliqué dans un post sur X, d’autres données de l’appareil incluent la locale (les paramètres de langue de votre appareil), la langue du clavier, la mémoire disponible, l’état de la batterie, le modèle de l’appareil et la luminosité de l’écran, entre autres. Théoriquement, dit Mysk, ces données peuvent être utilisées pour suivre les activités d’un utilisateur à travers iOS sans que vous n’ayez jamais réellement ouvert l’application concernée.
Comment empêcher les applications de suivre votre activité à travers les notifications push
Pour l’instant, la seule solution connue est la plus évidente : désactiver les notifications push pour toutes les applications. C’est la même solution que nous avons proposée lorsque nous avons appris que les agences d’application de la loi et les gouvernements peuvent demander des données de notification push des utilisateurs à Apple et Google : il suffit de couper l’accès aux données que ces entreprises souhaitent tant.
Bien sûr, c’est plus facile à dire qu’à faire. Les notifications peuvent être utiles, en particulier avec les applications de messagerie qui vous informent lorsqu’un nouveau message est arrivé. Désactiver les notifications push pour ces applications vous expose à un risque de retard dans les discussions de groupe et les chats personnels, ce qui contredit une grande partie de l’objectif d’avoir un smartphone en premier lieu.
Cela signifie qu’il vous revient vraiment : quel niveau de suivi des données pouvez-vous tolérer ? Ma recommandation est de désactiver les notifications pour toutes les applications que vous pouvez vous permettre de le faire. Par exemple, je garde les notifications Snapchat désactivées en permanence, car je préfère vérifier manuellement l’application pour de nouveaux snaps (un avantage supplémentaire : je ne peux pas supporter les notifications ennuyeuses et sans intérêt que Snapchat adore m’envoyer, et non, je ne les reçois pas). Je garde les notifications actives pour mes applications de messagerie, parce que même si Meta extrait mes données, je ne veux pas manquer de nouvelles alertes de mes amis et de ma famille.
Espérons qu’Apple s’attaquera bientôt à cette faille de confidentialité et de sécurité et bloquera les applications de pouvoir siphonner ces informations chaque fois qu’une notification push arrive. En attendant, notre seule option est d’empêcher ces applications de nous alerter entièrement.
