Les gouvernements ont suivi secrètement l’activité des applications d’un nombre inconnu de personnes utilisant des smartphones Apple et Google, a révélé aujourd’hui le sénateur américain Ron Wyden (Démocrate-Oregon).
Dans une lettre exigeant que le ministère de la Justice mette à jour ou abroge les politiques interdisant aux entreprises d’informer le public de ces demandes secrètes du gouvernement, Wyden a averti que « Apple et Google sont dans une position unique pour faciliter la surveillance gouvernementale de la manière dont les utilisateurs utilisent certaines applications ».
Les notifications push sont utilisées pour fournir une grande variété d’alertes aux utilisateurs d’applications. Un son convivial ou une alerte textuelle sur l’écran d’accueil informe les utilisateurs des nouveaux messages texte, e-mails, commentaires sur les réseaux sociaux, mises à jour, colis livrés, coups de pouce dans le jeu. En gros, toute activité d’application pour laquelle les notifications ont été activées pourrait être suivie par les gouvernements, a déclaré Wyden.
Selon Wyden, de nombreux utilisateurs d’applications ne réalisent pas que ces alertes instantanées « ne sont pas envoyées directement du fournisseur d’applications aux smartphones des utilisateurs », mais « passent par une sorte de bureau de poste numérique géré par le fournisseur du système d’exploitation du téléphone » pour » garantir une livraison rapide et efficace des notifications.
Les données transmises à Google et Apple comprennent des métadonnées « détaillant quelle application a reçu une notification et quand, ainsi que le téléphone et le compte Apple ou Google associé auquel cette notification était destinée à être envoyée », a écrit Wyden. Parfois, les données partagées peuvent inclure « du contenu non crypté, qui peut aller des directives backend de l’application au texte réel affiché à un utilisateur dans une notification d’application », a prévenu Wyden.
« Comme pour toutes les autres informations que ces sociétés stockent pour ou sur leurs utilisateurs, étant donné qu’Apple et Google fournissent des données de notification push, ils peuvent être secrètement contraints par les gouvernements à transmettre ces informations », a écrit Wyden.
Wyden a déclaré que son bureau avait passé l’année dernière à enquêter sur une « information » reçue au printemps 2022 affirmant que « les agences gouvernementales de pays étrangers exigeaient des enregistrements de notifications « push » sur smartphone de la part de Google et d’Apple.
Après avoir contacté les entreprises, Wyden a conclu que « Apple et Google devraient être autorisés à être transparents sur les demandes légales qu’ils reçoivent, en particulier de la part de gouvernements étrangers, tout comme les entreprises informent régulièrement les utilisateurs d’autres types de demandes gouvernementales de données ».
Apple a depuis confirmé dans une déclaration fournie à Ars que le gouvernement fédéral américain « avait interdit » à l’entreprise « de partager des informations », mais maintenant que Wyden a dénoncé le gouvernement fédéral, Apple a mis à jour ses rapports de transparence et « détaillera ce type de demandes ». » dans une section distincte sur les notifications push dans son prochain rapport. Ars a vérifié que les directives d’application de la loi d’Apple indiquent désormais que les enregistrements de notifications push « peuvent être obtenus par le biais d’une assignation à comparaître ou d’une procédure judiciaire plus approfondie ».
Un porte-parole de Google a déclaré à Ars que Google était « la première grande entreprise à publier un rapport public de transparence partageant le nombre et les types de demandes gouvernementales concernant les données des utilisateurs que nous recevons, y compris les demandes mentionnées par le sénateur Wyden ». Cela signifie que le rapport de transparence de Google, a confirmé Ars, documente déjà les demandes de données de notification push dans les données agrégées de toutes les demandes gouvernementales d’informations sur les utilisateurs. Le porte-parole de Google a déclaré que la société partage « l’engagement du sénateur à tenir les utilisateurs informés de ces demandes ».
Il n’est pas clair si Apple ou Google envisagent de fournir des rapports autonomes documentant toutes les demandes passées de données de notification push. Sans de tels rapports, on ne sait pas exactement quels gouvernements étrangers ont historiquement demandé ces données.
Une source proche de l’enquête de Wyden a déclaré à Reuters que « des agences gouvernementales étrangères et américaines ont demandé à Apple et à Google des métadonnées liées aux notifications push pour, par exemple, aider à lier les utilisateurs anonymes d’applications de messagerie à des comptes Apple ou Google spécifiques ». La source n’a pas pu confirmer depuis combien de temps les agences envoyaient les demandes et a simplement décrit les gouvernements étrangers comme des « démocraties alliées » aux États-Unis.
Wyden a refusé de commenter davantage, mais a écrit dans sa lettre qu’il poussait le DOJ non seulement à mettre fin au secret, mais également à exiger encore plus de transparence sur ces demandes secrètes.
« Ces entreprises devraient être autorisées à révéler de manière générale si elles ont été contraintes de faciliter cette pratique de surveillance, à publier des statistiques globales sur le nombre de demandes qu’elles reçoivent et, à moins d’être temporairement bâillonnées par un tribunal, à informer des clients spécifiques des demandes concernant leurs données », » Wyden a écrit.