Apple a mis à jour ses informations pour les agences gouvernementales qui cherchent des données sur un utilisateur dans le cadre d'une enquête. Les notifications push y font leur apparition à la suite des révélations d'un sénateur américain.

Le sénateur de l'Oregon, Ron Wyden, dévoilait hier les contours d'une méthode de collecte d'informations sur un individu sous le coup d'une enquête, grâce aux métadonnées des notifications d'apps qu'il reçoit sur son smartphone. Google et Apple avaient interdiction de la rendre publique. La demande du sénateur pour faire lever ce veto a fait sauter ce verrou.

Apple confirme que des gouvernements surveillent le transit de notifications

D'après le Washington Post cette technique a été employée notamment pour obtenir des informations sur des participants à l'attaque du Capitole le 6 janvier dernier dans la capitale fédérale américaine.

À la suite d'Apple, Google a déclaré qu'il partageait le souhait du sénateur Wyden de continuer à informer les citoyens sur les demandes d'informations reçues de la part des autorités. Google, comme Apple, publie annuellement un rapport de synthèse sur ces requêtes judiciaires formulées depuis les pays où le groupe opère.

Ni Apple, ni Google, ni le sénateur à l'origine de cette révélation n'ont nommé de pays qui ont eu recours à ce type de métadonnées, pas plus que les volumes que cela représente. Une source proche de ce dossier a déclaré hier à Reuters que plusieurs pays alliés des États-Unis procédaient de même.

Attaque du Capitole

Le Washington Post a comptabilisé jusqu'à présent plus de deux douzaines de mandats ou autres documents relatifs à des données de notifications push. La plupart avaient leur contenu expurgé, mais 9 d'entre eux étaient liés aux événements du Capitole, deux concernaient des individus suspectés de blanchiment d'argent et de distribution de contenus pédophiles. Les requêtes visaient des notifications push émises vers des apps de Microsoft, Amazon, Apple ou Google, entre autres.

Le nombre exact de demandes traitées spécifiquement pour des métadonnées de notifications est encore inconnu, Google et Apple n'ayant pas encore commencé à les détailler.

Google a néanmoins déclaré dans la dernière mouture de son rapport que, sur le premier semestre 2022, il avait reçu 500 demandes aux États-Unis pour 36 000 comptes. Et ce, pour des informations qui ne sont pas des contenus à proprement parler et qui peuvent inclure parmi elles ces données de notifications. Sur la même période, le volume total de demandes traitées par Google au niveau mondial s'est élevé à plus de 192 000 pour 400 000 comptes utilisateurs (environ 70 000 comptes concernaient les États-Unis).

Apple, de son côté, a amendé le document destiné aux autorités, dans lequel sont énumérés les contenus qu'elle est en mesure de fournir dans le cadre d'une demande légale. Comme elle l'avait annoncé hier après la révélation du sénateur Wyden, elle a ajouté un passage sur son service de notifications push (APNs). Elle y explique :

Lorsque les utilisateurs autorisent une application qu'ils ont installée à recevoir des notifications push, un jeton du service Apple Push Notification est créé puis enregistré auprès de ce développeur et de cet appareil. Certaines applications peuvent avoir plusieurs jetons APN pour un compte sur un appareil afin de différencier messages et multimédia. L'identifiant Apple associé à un jeton APNs enregistré peut être obtenu avec une injonction ou une autre procédure légale.

La prochaine publication des rapports de transparences des deux entreprises en dira peut-être plus sur la quantité de requêtes faites pour les notifications.