Gouvernements espionnés : Les notifications push d’Apple et Google en ligne de mire

« Les notifications push sont des alertes envoyées par des applications téléphoniques sur les smartphones des utilisateurs », a déclaré M. Wyden. « Ces alertes passent par un bureau de poste numérique géré par le fournisseur du système d’exploitation du téléphone – en grande majorité Apple ou Google. En raison de cette structure, ces deux entreprises ont une visibilité sur la manière dont leurs clients utilisent les applications et pourraient être contraintes de fournir ces informations à des gouvernements américains ou étrangers ».

Dans une lettre adressée au procureur général des États-Unis, Merrick Garland, M. Wyden a indiqué qu’Apple et Google confirmaient avoir reçu de telles demandes, mais a fait remarquer que les informations relatives à cette pratique ne pouvaient être rendues publiques par le gouvernement américain, ce qui soulève des questions quant à la transparence des demandes légales qu’ils reçoivent de la part des gouvernements.

Lorsque les applications mobiles pour Android et iOS envoient des notifications push aux appareils des utilisateurs, elles sont acheminées via les infrastructures d’Apple et de Google, connues respectivement sous le nom de service Apple Push Notification (APN) et Firebase Cloud Messaging. Microsoft et Amazon disposent de systèmes similaires, appelés Windows Push Notification Service (WNS) et Amazon Device Messaging (ADM). En conséquence, la lettre allègue que les deux entreprises peuvent être contraintes par les gouvernements à fournir ces informations. À l’heure actuelle, on ne sait pas exactement quels gouvernements ont demandé des données de notification à Apple et à Google ; toutefois, les États-Unis sont l’un d’entre eux, selon le Washington Post, qui a trouvé plus de deux douzaines de demandes de mandats de perquisition liées à des demandes fédérales de données de notification par poussée.
« Les données que ces deux entreprises reçoivent comprennent des métadonnées, détaillant quelle application a reçu une notification et quand, ainsi que le téléphone et le compte Apple ou Google associé auquel cette notification était censée être délivrée », peut-on lire dans la lettre. La lettre insiste pour qu’Apple et Google soient autorisés à divulguer s’ils ont facilité cette pratique, à publier des statistiques globales sur le nombre de demandes reçues et à informer des clients spécifiques des demandes concernant leurs données. Dans une déclaration transmise à Reuters, qui a été le premier à faire état de ce développement, Apple a déclaré que la lettre lui donnait « l’ouverture » dont elle avait besoin pour partager plus de détails sur la façon dont les gouvernements surveillaient les notifications push. « Lorsque les utilisateurs autorisent une application qu’ils ont installée à recevoir des notifications push, un jeton Apple Push Notification Service (APNs) est généré et enregistré auprès de ce développeur et de cet appareil », note Applienow dans son document Legal Process Guidelines mis à jour [PDF]. « Certaines applications peuvent avoir plusieurs jetons APNs pour un compte sur un appareil afin de différencier les messages et le multimédia. L’identifiant Apple associé à un jeton APNs enregistré peut être obtenu avec une citation à comparaître ou une procédure judiciaire plus importante. » Google, quant à lui, a fait remarquer qu’il publiait déjà ces informations dans ses rapports de transparence, bien qu’elles ne soient pas ventilées de manière spécifique en fonction des demandes des gouvernements pour les enregistrements de notifications push.