Des gouvernements non précisés ont exigé des enregistrements de notifications push mobiles des utilisateurs d’Apple et de Google pour poursuivre les personnes d’intérêt, selon le sénateur américain Ron Wyden.
« Les notifications push sont des alertes envoyées par les applications téléphoniques aux smartphones des utilisateurs », Wyden dit.
« Ces alertes transitent par un bureau de poste numérique géré par le fournisseur du système d’exploitation téléphonique – en grande partie Apple ou Google. Grâce à cette structure, les deux sociétés ont une visibilité sur la manière dont leurs clients utilisent les applications et pourraient être obligées de fournir ces informations aux États-Unis ou à Google. gouvernements étrangers. »
Wyden, dans une lettre adressée au procureur général des États-Unis, Merrick Garland, a déclaré qu’Apple et Google avaient confirmé avoir reçu de telles demandes, mais a noté que les informations sur cette pratique n’étaient pas rendues publiques par le gouvernement américain, soulevant des questions sur la transparence des demandes juridiques qu’ils reçoivent des gouvernements. .
Lorsque les applications mobiles pour Android et iOS envoient des notifications push aux appareils des utilisateurs, elles sont acheminées via la propre infrastructure d’Apple et de Google connue sous le nom d’Apple Push Notification (APN) service et Messagerie cloud Firebase, respectivement. Microsoft et Amazon ont mis en place des systèmes similaires appelés Windows Push Notification Service (SMB) et la messagerie des appareils Amazon (SMA).
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
En conséquence, la lettre affirme que les deux sociétés peuvent être contraintes par les gouvernements à transmettre les informations. Il n’est actuellement pas clair quels gouvernements ont demandé des données de notification à Apple et Google.
Cela dit, les États-Unis en font partie, selon le Washington Post, qui trouvé plus de deux douzaines de demandes de mandat de perquisition liées aux demandes fédérales de données de notification push.
« Les données reçues par ces deux sociétés comprennent des métadonnées, détaillant quelle application a reçu une notification et quand, ainsi que le téléphone et le compte Apple ou Google associé auquel cette notification était destinée à être envoyée », indique la lettre.
« Dans certains cas, ils peuvent également recevoir du contenu non crypté, qui peut aller des directives backend de l’application au texte réel affiché à un utilisateur dans une notification d’application. »
Il a également demandé qu’Apple et Google soient autorisés à révéler s’ils ont facilité cette pratique et, si tel est le cas, à publier des statistiques globales sur le nombre de demandes qu’ils reçoivent et à informer des clients spécifiques des demandes concernant leurs données.
Dans une déclaration partagée avec Reuters, qui a été le premier à signaler le développement, Apple dit la lettre leur a donné « l’ouverture » dont ils avaient besoin pour partager plus de détails sur la façon dont les gouvernements surveillaient les notifications push.
« Lorsque les utilisateurs autorisent une application qu’ils ont installée à recevoir des notifications push, un jeton Apple Push Notification Service (APNs) est généré et enregistré auprès de ce développeur et de cet appareil », note désormais Apple dans sa version mise à jour. Lignes directrices sur la procédure judiciaire document [PDF].
« Certaines applications peuvent avoir plusieurs jetons APNs pour un compte sur un appareil afin de différencier les messages et le multimédia. L’identifiant Apple associé à un jeton APNs enregistré peut être obtenu par une assignation à comparaître ou une procédure judiciaire plus approfondie. »
Google, quant à lui, a indiqué qu’il publiait déjà ces informations dans son rapports de transparence bien qu’il ne soit pas spécifiquement ventilé par les demandes du gouvernement concernant les enregistrements de notifications push.