Vraiment, on dirait qu'ils ne peuvent pas s'en empêcher.
Plusieurs réseaux sociaux ont été épinglés par un groupe de chercheurs en cybersécurité. Leur tort ? Avoir trouvé un nouveau moyen de collecter vos données personnelles, cette fois-ci par le biais de notifications. Ce qui rend mémorable cette histoire, d'ordinaire plutôt banale, c'est que ce nouveau moyen de récupérer des informations personnelles n'est a priori disponible que sur les produits Apple, remettant une nouvelle fois un peu en question le branding de la marque, qui aimerait beaucoup que vous lui fassiez confiance quand elle explique que « ce qui se passe sur votre iPhone reste sur votre iPhone » .
Les notifications push, un bon moyen de vous pister
Un groupe de chercheurs de chez Mysk a remarqué que de nombreuses applications récupéraient de nombreuses données sur vous et votre appareil simplement en vous envoyant des notifications, et ce, même si l'application concernée n'est pas ouverte dans l'appareil. Le principe est relativement simple : lorsqu'elles souhaitent vous envoyer un push, Apple les autorise brièvement à faire tourner l'application en tâche de fond. Une petite fenêtre de tir qui serait largement suffisante, selon les chercheurs, pour en savoir bien assez sur vous.
Ainsi, en fonction des applications, une simple notification peut suffire à déterminer votre adresse IP, la durée depuis le dernier redémarrage de votre téléphone, l'espace de stockage disponible sur ce dernier, ou encore le fuseau horaire dans lequel il se trouve. Et bien sûr, si vous avez cliqué ou non sur la notification concernée, ou au bout de combien de temps vous l'avez rejetée.
Une pratique très répandue
Le groupe de chez Mysk a relevé que la pratique n'était pas confinée à une ou deux entreprises, et pas forcément pratiquée par des acteurs malveillants : presque tous les grands réseaux sociaux le font. Sont ainsi concernés : LinkedIn, X.com, TikTok, et bien entendu l'ensemble des applications du groupe Meta. Cette révélation est un nouveau coup à l'image de marque d'Apple, qui aimerait vraiment conserver sa réputation de protection de la vie privée, et a même développé des options activables permettant explicitement d'empêcher la collecte d'informations par ces applications.
Les chercheurs à l'origine de l'étude remarquent que les informations ainsi obtenues permettent d'obtenir de manière assez précise l'identité de la personne concernée, et notamment d'établir son profil commercial. À noter qu'un porte-parole de LinkedIn a expliqué que celles-ci n'étaient nullement utilisées à des fins publicitaires, mais seulement dans le but de s'assurer que les applications fonctionnaient bien.
Seulement, comme le note l'étude, Apple fournit déjà des retours aux développeurs des applications quant aux notifications envoyées sur ses appareils. Mais surtout, d'autres entreprises comme Google, pourtant pas toujours irréprochables sur la question, ne se livrent pas à cette collecte. Peut-être qu'ils ne savaient pas que c'était possible.