Des chercheurs en sécurité informatique ont découvert que plusieurs applications iPhone, dont Facebook, LinkedIn, TikTok et X/Twitter, contournent les règles de confidentialité d’Apple pour récolter des données utilisateur à travers les notifications. Ces données ne sont pas nécessaires pour traiter les notifications, et semblent être liées à l’analyse, à la publicité et au suivi des utilisateurs à travers différents appareils et applications.Lors de la conférence WWDC 2020, Apple a annoncé qu’avec la sortie d’iOS 14, l’IDFA (pour IDentifier For Advertisers, en français « identifiant de publicité ») serait désormais une fonctionnalité exclusivement opt-in et que les utilisateurs devraient donner leur consentement explicite à la fois à l’annonceur et aux applications pour les autoriser à « les suivre sur Internet ».
Concrètement, avec la mise à jour de son système d'exploitation, notamment iOS 14, Apple allait apporter aux utilisateurs des paramètres de confidentialité pour réduire le ciblage publicitaire : il était prévu que chaque application qui souhaite faire usage de ces identifiants demande aux utilisateurs d'opter pour le suivi lors du premier lancement de l'application.
Selon Facebook, l’une des solutions qui seraient les plus durement touchées par l’approche d’Apple est son outil publicitaire Audience Network. Ce dernier permet aux annonceurs d'étendre leurs campagnes Facebook et Instagram à l'ensemble d'Internet au travers de milliers d'applications de haute qualité. Ce réseau d'audience de l’entreprise aide les développeurs de logiciels pour les plateformes mobiles à fournir des publicités in-app ciblées aux utilisateurs en fonction des données de Facebook. Facebook prétend qu’il ne serait plus d’aucune utilité si l’iOS 14 voyait le jour ainsi.
Facebook prévoyait alors un déficit de 10 milliards de dollars de revenus à cause des fonctions de confidentialité sur iOS.
Mais les entreprises semblent déjà avoir trouvé une parade
Des applications pour iPhone, dont Facebook, LinkedIn, TikTok et X/Twitter, contournent les règles de confidentialité d'Apple pour collecter des données d'utilisateur par le biais de notifications, selon des tests effectués par des chercheurs en sécurité de Mysk Inc, une société de développement d'applications. Ces derniers ont effectué des tests sur plusieurs applications populaires et ont observé les données qu’elles envoyaient à des serveurs distants lorsqu’un utilisateur interagissait avec une notification.
Par exemple, les tests ont montré que lorsque vous interagissez avec une notification de Facebook, l'application collecte les adresses IP, le nombre de millisecondes écoulées depuis le redémarrage de votre téléphone, la quantité d'espace mémoire libre sur votre téléphone et plusieurs autres informations. La combinaison de ces données est suffisante pour identifier une personne avec un haut niveau de précision. Les autres applications testées ont recueilli des informations similaires. LinkedIn, par exemple, utilise des notifications pour savoir dans quel fuseau horaire vous vous trouvez, la luminosité de votre écran et l'opérateur de téléphonie mobile que vous utilisez. Mysk a déclaré que LinkedIn recueillait également toute une série d'autres informations qui semblent spécifiquement liées à une campagne publicitaire (un porte-parole de LinkedIn a qualifié cette affirmation d'inexacte). Il convient de noter que le fait qu'une application puisse recueillir ces informations ne signifie pas qu'elle les utilise.
Les chercheurs ont été surpris de constater que cette pratique était largement utilisée. « Qui aurait su qu’une action aussi innocente que de supprimer une notification déclencherait l’envoi de beaucoup d’informations uniques sur l’appareil à des serveurs distants ? C’est inquiétant quand on pense au fait que les développeurs peuvent faire cela à la demande », a déclaré Tommy Mysk, l’un des chercheurs.
Cette découverte met en lumière une faille dans les règles de confidentialité d’Apple, qui interdit aux applications de faire du “fingerprinting”, une technique qui consiste à suivre les utilisateurs et à leur envoyer des publicités ciblées en se basant sur plusieurs détails apparemment anodins sur leur appareil. Apple a mis en place de nombreux paramètres et protections pour donner aux utilisateurs le contrôle sur la collecte et l’utilisation de leurs données, mais il semble que certaines applications trouvent des moyens de les contourner.
La réaction des entreprises
« Nous n'utilisons pas les notifications comme un moyen de collecter des données sur les membres à des fins de publicité ou d'analyses connexes, de suivi entre appareils ou entre applications », a déclaré un porte-parole de LinkedIn. « Les données collectées sont uniquement utilisées pour confirmer qu'une notification a été envoyée avec succès et, de manière transitoire, pour mettre en file d'attente l'expérience de l'application au cas où le membre choisirait de lancer l'application en réponse à la notification, sans jamais être partagées à l'extérieur ». Le porte-parole a déclaré que les données ne sont jamais partagées à l'extérieur.
Meta, qui possède Facebook, a fait une déclaration similaire. « Les résultats ne sont pas exacts. Les gens se connectent à notre application sur leur appareil et donnent la permission d'activer les notifications », a déclaré Emil Vazquez, porte-parole de Meta. « Nous pouvons périodiquement utiliser ces informations, même lorsque l'application n'est pas en cours d'exécution, pour nous aider à fournir des notifications opportunes et fiables, en utilisant les API d'Apple. Cela est conforme à nos politiques ».
Ces informations ne sont pas particulièrement sensibles par rapport à des éléments tels que les données de localisation, mais elles sont précieuses pour la publicité et à d'autres fins. Ce que beaucoup de gens ignorent, c'est que la publicité ciblée et les autres atteintes à la vie privée numérique ont pour but de déterminer votre identité. Les entreprises savent ce que vous faites sur leurs applications, mais elles ne savent pas toujours qui vous êtes, et les données sont beaucoup moins utiles si vous ne savez pas à qui elles appartiennent. Si les entreprises ne peuvent pas vous identifier, elles ne peuvent pas vous cibler avec des publicités.
Apple fournit un numéro d'identification publicitaire spécialement conçu pour faciliter la collecte de données et les publicités ciblées, mais des paramètres tels que la commande "Ask App Not To Track" de l'iPhone bloquent ce numéro d'identification publicitaire. En théorie, cela est censé empêcher les entreprises de rassembler des informations sur vous et votre comportement provenant de différentes applications et d'autres parties de l'internet. Mais le fingerprinting est un moyen sournois de continuer à le faire de toute façon.
Les applications peuvent collecter ce type de données lorsqu'elles sont ouvertes, mais la fermeture d'une application est censée interrompre le flux de données et empêcher l'application de fonctionner. Cependant, il semble que les notifications offrent une porte dérobée.
Comment ça se passe ?
Apple fournit un logiciel spécial pour aider vos applications à envoyer des notifications. Pour certaines notifications, l'application peut avoir besoin de jouer un son ou de télécharger du texte, des images ou d'autres informations. Si l'application est fermée, le système d'exploitation de l'iPhone la laisse se réveiller temporairement pour contacter les serveurs de l'entreprise, vous envoyer la notification et effectuer toute autre opération nécessaire. C'est au cours de cette brève période que Mysk a repéré la collecte de données.
« Ils peuvent intentionnellement envoyer une notification à un appareil ciblé afin que l'application démarre en arrière-plan et renvoie des informations », explique Mysk. Si une entreprise comme TikTok ou X/Twitter souhaite obtenir rapidement les adresses IP de 100 000 personnes dont l'application est fermée, il suffit d'envoyer une notification rapide. « C'est époustouflant », a-t-il déclaré.
Il est tout à fait raisonnable qu'une application veuille analyser la façon dont les utilisateurs interagissent avec les notifications afin d'optimiser ses services. Toutefois, Mysk estime qu'il y a plusieurs raisons de penser que ce n'est pas la raison pour laquelle les applications collectent ces données.
D'une part, Apple fournit directement aux développeurs d'applications des détails sur ce qui se passe avec les notifications. Il n'est donc pas nécessaire de collecter des informations supplémentaires si vous savez ce qui s'est passé après avoir envoyé une notification à vos utilisateurs. En outre, de nombreuses données collectées par les applications ne semblent pas liées à l'analyse du fonctionnement des notifications, comme l'espace disque disponible sur votre téléphone ou le temps écoulé depuis votre dernier redémarrage, explique Mysk.
De plus, d'autres entreprises avides de données envoient des notifications sans se régaler de toutes ces autres informations. Lorsque Mysk a testé Gmail et YouTube, par exemple, les applications n'ont collecté que des données manifestement liées au traitement des notifications. Selon Mysk, si une entreprise comme Google peut vous envoyer une notification sans fouiller dans d'autres détails, cela suggère que la collecte de données qu'il a repérée avec les autres applications est effectuée pour servir d'autres objectifs.
Il existe quelques explications potentiellement innocentes au problème des données de notification. Par exemple, les développeurs laissent parfois dans leurs applications d'anciens codes qui exécutent des fonctions dont les entreprises n'ont plus besoin. Il est théoriquement possible qu'une application comme LinkedIn soit configurée pour collecter des données qui ne sont utilisées à aucune fin. Les chercheurs ont toutefois déclaré qu'il était difficile d'y croire.
Une modification prochaine des règles du système d'exploitation de l'iPhone pourrait améliorer la situation, mais il n'est pas certain qu'elle résoudra le problème. À partir du printemps 2024, les développeurs d'applications devront expliquer pourquoi et comment ils utilisent certaines API qui, dans ce contexte, sont essentiellement des éléments de logiciel que les applications utilisent pour communiquer entre elles et avec le système d'exploitation de l'iPhone.
En théorie, cela pourrait obliger les entreprises à révéler pourquoi elles vous surveillent et, si elles collectent des données à des fins illégitimes, peut-être devront-elles cesser de le faire. « La mauvaise nouvelle, c'est qu'on ne sait pas très bien comment Apple va faire appliquer cette loi », a déclaré Mysk.
Sources : Apple (documentation sur les notifications), Apple (décrire l'utilisation qui sera faite de l'API), Mysk (vidéo dans le texte)
Et vous ?
Que pensez-vous de la pratique des applications iPhone qui récoltent des données en secret lorsqu’elles vous envoient des notifications ? Est-ce une violation de votre vie privée ou un moyen légitime d’améliorer votre expérience utilisateur ? Faites-vous confiance aux applications que vous utilisez sur votre iPhone ? Vérifiez-vous les paramètres de confidentialité et les autorisations que vous leur accordez ? Comment pouvez-vous vous protéger contre le fingerprinting et le suivi des utilisateurs ? Quel est le rôle d’Apple dans cette affaire ? Pensez-vous qu’Apple devrait renforcer ses règles de confidentialité et sanctionner les applications qui les contournent ? Ou pensez-vous qu’Apple devrait laisser les utilisateurs choisir librement les applications qu’ils veulent utiliser et les données qu’ils veulent partager ?