Surveillance des notifications : un sénateur américain demande la fin du secret

Dans une lettre adressée au ministère américain de la Justice, le sénateur Ron Wyden a demandé que soit levé le secret entourant l’espionnage des notifications sur les appareils mobiles. Apple s’est engouffrée dans la brèche et a modifié sa communication publique en conséquence.

Lorsque l’on parle de surveillance ou d’espionnage, on comprend volontiers le contenu des communications : le texte d’un SMS, d’un email, d’une application de messagerie et ainsi de suite. Pourtant, la réception des notifications constitue une source d’informations à part entière, y compris quand elles ont trait à du contenu chiffré de bout en bout.

Des situations très variées

Il existe bien sûr une différence de taille, selon que les notifications sont liées à des applications non chiffrées, chiffrées de manière classique ou chiffrées de bout en bout. Comme nous le confirme Esther, chercheuse en sécurité et cofondatrice d’Exodus Privacy :

« La notification en elle-même correspond au résultat du déchiffrement du message. Cela est fait sur l’appareil. À aucun moment un message ne se retrouve en clair ailleurs que sur les appareils des personnes émettrices/destinataires du message »

Cependant, même dans ce cas, les notifications peuvent se révéler riches d’enseignements : Apple, Google (notamment) peuvent savoir qu’une notification a été émise vers une application spécifique. Le degré d’informations que l’on peut en tirer dépend de chaque cas, car les développeurs ont le choix en ce domaine. David Libeau, l’un d’entre eux, a résumé la situation en janvier dernier : pour que le contenu d’une notification soit chiffré, il faut l’avoir prévu.

Dans le pire des cas – un échange sans le moindre chiffrement – il est possible d’obtenir l’ensemble des informations : le contenu et les informations périphériques, permettant de savoir qui a parlé à qui, quand et de quoi.

Ron Wyden donne un coup de pied dans la fourmilière

Aux États-Unis, la situation reste tendue depuis les révélations d’Edward Snowden. Les pratiques de surveillance de l’oncle Sam ont été copieusement épluchées durant la dernière décennie, provoquant divers scandales et réactions, notamment du côté des entreprises de la tech. Chez les GAFAM en particulier et dans de nombreuses autres entreprises du domaine, on a ainsi vu apparaître des rapports de transparence.

Toutes les informations n’ont pourtant pas le droit d’être publiées, loin de là. Tout ce qui touche aux notifications n’est ainsi pas autorisé. Dans une lettre au ministère américain de la Justice, le sénateur Ron Wyden, également président du comité sénatorial des finances, a demandé à ce que soit levée cette interdiction pour Apple et Google, chez qui ces notifications transitent. Pourquoi ? Parce que des gouvernements étrangers (non nommés) font régulièrement des demandes de surveillance dans ce domaine, selon un « tuyau » reçu en 2022. Les États-Unis useraient également de cette méthode, selon Reuters.

« Les données que ces deux entreprises reçoivent comprennent des métadonnées, indiquant quelle application a reçu une notification et quand, ainsi que le téléphone et le compte Apple ou Google associé auquel cette notification était destinée. Dans certains cas, elles peuvent également recevoir du contenu non chiffré, qui peut aller des directives de l'application au texte affiché par l'utilisateur dans une notification d'application », explique Wyden.

Il plaide la détente sur ces informations : « Apple et Google devraient être autorisées à faire preuve de transparence quant aux demandes légales qu'elles reçoivent, en particulier de la part de gouvernements étrangers, de la même manière que les entreprises informent régulièrement les utilisateurs des autres types de demandes de données émanant de gouvernements. Ces entreprises devraient être autorisées à révéler de manière générale si elles ont été contraintes de faciliter cette pratique de surveillance, à publier des statistiques globales sur le nombre de demandes qu'elles reçoivent et, à moins d'être temporairement bâillonnées par un tribunal, à informer des clients spécifiques sur les demandes de données les concernant. Je demande au ministère de la Justice d'abroger ou de modifier toute politique qui entrave cette transparence ».

Apple et Google sautent sur l’occasion

Du côté des deux entreprises principalement concernées, on applaudit l’initiative du sénateur.

À Reuters, Apple a ainsi déclaré que ses rapports allaient être adaptés en conséquence : « Dans ce dossier, le gouvernement fédéral nous a interdit de partager toute information. Maintenant que cette méthode a été rendue publique, nous allons mettre à jour notre rapport sur la transparence pour y détailler ce type de requêtes ». Et ce, sans attendre la réponse du ministère de la Justice, qui n’a pas encore réagi.

Chez Google, la réaction a été un peu moins franche, la société s’étant contentée de répondre qu’elle « partageait l’engagement de M. Wyden de tenir les utilisateurs informés de ces demandes ».