On a beau prendre toutes ses dispositions pour protéger son smartphone pour osciller entre l’anonymat et la protection absolue de ses données, il y a toujours des développeurs plus malins pour arriver à leurs fins. Et quand il s’agit des plus grosses entreprises de la tech, les entourloupes deviennent difficiles à débusquer.
Deux développeurs iOS spécialisés en cybersécurité ont ainsi mis en lumière un détournement de fonction mis en place notamment par Tiktok, Meta ou encore X (ex-Twitter).
« Les applications gourmandes en données utilisent les notifications push pour récupérer et envoyer des informations et des données utilisateurs de l’application vers leurs serveurs distants », expliquent les deux hommes sur leur compte Twitter.
Mais ce qui paraît le plus étrange, c’est que les notifications reçues sur iPhone servent de point d’entrée vers les données même si les applications ne sont pas en cours d’exécution.
L’iPhone a pour principe de ne pas laisser fonctionner en arrière-plan les applications inactives, notamment pour des questions de protection de la vie privée en plus des performances. Mais Apple autorise néanmoins les applications à envoyer des notifications sans avoir besoin que celle-ci s’exécute.
🚨🎬 Privacy Concerns about Apple Push Notifications
TL;DR: data-hungry apps use push notifications as a trigger to send app analytics and device information to their remote servers, even if the apps aren't running at all on your iPhone. Such apps include TikTok, Facebook, FB… pic.twitter.com/qyFDbmrBjq
— Mysk 🇨🇦🇩🇪 (@mysk_co) January 25, 2024
Et c’est ce moment précis dont ont su profiter les ingénieuses applications. A la réception d’une notification, iOS la réveille en arrière-plan « et lui laisse un temps limité pour personnaliser la notification avant qu’elle ne soit affichée pour l’utilisateur », expliquent les chercheurs.
Cela va passer par le téléchargement de contenu supplémentaire pour enrichir la notification (image, lien, etc.). iOS coupe ensuite le canal ouvert vers l’application en arrière-plan.
Ils ont ainsi découvert que les applications qui cherchent le plus à récupérer des données personnelles de leurs utilisateurs profitent de cette brèche ouverte pour exécuter du code en arrière-plan et lire de nombreuses informations (modèle de l’appareil, localisation, état de la batterie, etc.).
Des signaux qui peuvent être utilisés pour définir une empreinte digitale du consommateur et mieux le suivre dans son utilisation, ce qui est interdit par Apple. Et pourtant, pour les deux développeurs, c’est « une mine d’or » pour les applications.
Ils ont noté que Facebook Messenger, Thread, Instagram, X ou encore Tiktok se servaient très fréquemment de cette pratique pour envoyer des informations de l’appareil vers leurs serveurs. La majorité de ces apps « envoie également des données lorsqu’elles effacent leurs notifications dans le Centre de notification ». Cela passe souvent par Google Analytics et Firebase, même si Facebook utilise son propre service tout comme Tiktok en partie.
« Heureusement, à partir du printemps 2024, Apple exigera des développeurs qu’ils déclarent les raisons pour lesquelles ils utilisent les API qui renvoient des signaux uniques de l’appareil, tels que ceux couramment utilisés pour les empreintes digitales », concluent-ils.
Comment éviter la pratique ?
Pour empêcher les applications de lire vos données via push, il suffit d’aller dans les paramètres du smartphone, puis dans les notifications et de désactiver complètement les notifications inutiles.
avec bfm