Le gouvernement a-t-il vraiment accès à nos notifications mobile ?
Les gouvernements peuvent espionner les populations via les notifications. Voilà ce qu'a affirmé le sénateur américain Ron Wyden, qui s'est mué en lanceur d'alerte en écrivant une lettre adressée au ministère de la Justice des Etats-Unis le 6 décembre. Mais comment un gouvernement peut-il mettre en place un tel espionnage ? Tout simplement en sollicitant des informations auprès de Google et d'Apple dont les serveurs respectifs (Firebase Cloud Mesaging et Apple Push Notification Service) jouent le rôle d'intermédiaire lorsqu'une application envoie une notification à un utilisateur d'un smartphone Android ou Apple.
Ron Wyden a affirmé que les deux entreprises étaient "dans une position unique pour faciliter la surveillance par des gouvernements" et que le contenu du texte affiché à l'écran par la notification faisait partie des données accessibles, en plus de l'application utilisée par l'utilisateur et du nombre de notifications qu'il reçoit. En réponse, Apple a déclaré qu'il allait "rendre compte des demandes des gouvernements dans ses futurs rapport de transparence", confirmant ainsi les propos du sénateur. L'entreprise a également indiqué qu'elle allait désormais exiger une ordonnance d'un juge pour transmettre les informations sur les notifications de ses clients aux forces de l'ordre.
En revanche, personne n'a évoqué la possibilité pour les utilisateurs de recevoir des notifications hermétiques aux intrusions des gouvernements ou de toute autre autorité publique. Mais cette possibilité existe-elle ? Selon un développeur spécialiste des données personnelles, qui a préféré rester anonyme, la réponse est non, du moins "dans la plupart des cas". Car si "les notifications sont un cauchemar pour la vie privée", il faut néanmoins distinguer "plusieurs scénarios différents".
Le plus commun d'entre eux est celui évoqué par le sénateur américain. Les "notifications envoyées par l'application transitent par les serveurs de Google ou d'Apple" (selon le téléphone) et leur contenu "peut être déchiffré" par les gouvernements qui en font la demande. Deuxième cas : "l'application envoie au serveur de Google ou d'Apple" une notification dont le contenu est illisible. Mais pour cela, il faut "mettre en place le chiffrement". Une pratique qui ne permet pas de cacher les métadonnées (comme l'application utilisée ou le nombre de notifications reçues) et qui dépend de la compétence (et de la volonté) de l'application, et non de l'utilisateur.
"Les applications ne peuvent se passer des serveurs d'Apple ou de Google pour envoyer des notifications"
"Les développeurs d'application et les utilisateurs ne savent pas trop comment cela fonctionne, il y a clairement un manque d'information", explique le spécialiste. Et la législation dans tout ça ? Le RGPD ne s'oppose pas à une telle pratique à partir du moment où l'utilisateur donne son consentement (article 49.1). Par conséquent, "la majorité des applications se contentent d'obtenir le consentement des utilisateurs pour faire transiter les notifications par les serveurs de Google ou d'Apple".
A noter que "de rares applications refusent de passer par ces serveurs intermédiaires". Elles envoient des notifications à leurs utilisateurs seulement quand l'application est ouverte (ce qui ne nécessite pas de passer par les serveurs de Google ou d'Apple) ou alors "elles organisent elles-mêmes tout le processus à la demande des internautes". Mais cette pratique demeure très marginale car "elle s'avère très compliquée à mettre en place". Même notre expert n'était pas en mesure de citer des applications gérant le processus de notification par leurs propres moyens.
Pour résumer, dans la grande majorité des cas, "les applications ne peuvent se passer des serveurs d'Apple et de Google pour envoyer des notifications". Au mieux, elles activent le chiffrement pour éviter de dévoiler leur contenu. Consciente du problème, la Cnil, dans un projet de recommandation relative aux applications mobiles, a demandé la mise en place de serveurs tiers. Le but d'une telle solution ? Eviter de centraliser toutes les informations sur seulement deux serveurs (à savoir Firebase Cloud Mesaging et Apple Push Notification Service) en les répartissant sur un plus grand nombre d'intermédiaires. En attendant la mise en place d'une telle solution, désactiver les notifications reste l'option la plus sûre pour éviter de se faire espionner.