Menu
FR

TikTok, Meta, X et autres collectent vos données via les notifications push sur iOS

Apple a depuis longtemps déclaré que l'empreinte digitale, c'est-à-dire le suivi d'un utilisateur par le biais des caractéristiques matérielles et logicielles de son appareil, n'était pas autorisée. Mais apparemment, certaines applications populaires ont trouvé une porte dérobée qu'elles exploitent à la vue de tous.

Tommy Mysk, chercheur en protection de la vie privée, a découvert qu'un certain nombre d'applications iOS populaires utilisent une fonction de notification push, introduite pour la première fois en 2016, pour envoyer des données détaillées sur l'appareil de l'utilisateur aux serveurs de leur entreprise.

Mysk explique qu'il a remarqué ce schéma inquiétant et apparemment persistant en examinant plusieurs apps de médias sociaux, notamment TikTok, Facebook, FB Messenger, Instagram, Threads et X. Toutes ces apps ont tiré parti de la fonctionnalité qui leur permettait de personnaliser leurs notifications push même lorsqu'elles n'étaient pas en cours d'exécution.

Cette fonction n'est pas fondamentalement malveillante et sert un objectif important. Par exemple, elle peut être utile aux applications qui doivent décoder la charge utile de la notification ou télécharger du contenu supplémentaire pour présenter au mieux la notification à l'utilisateur. Lorsqu'une application reçoit une notification push, iOS lui signale de se réveiller et de s'exécuter pendant un court laps de temps. Pendant ce temps, l'application peut faire ce que le développeur veut, y compris modifier l'apparence de la notification push d'une manière ou d'une autre. Ce dernier point est l'objectif initial de la fonction, mais le problème est que l'application peut également collecter des données ou envoyer des informations sur l'utilisateur pendant cette période.

Mysk a observé que les applications qu'il a étudiées ont appris à tirer pleinement parti de ce temps d'exécution limité pour collecter des données à partir de l'appareil et les envoyer à des serveurs distants. Le chercheur qualifie la possibilité d'exécuter du code en arrière-plan de "mine d'or pour les applications gourmandes en données ".

Comment cela fonctionne-t-il, selon Mysk ?

  • Le développeur de l'application propose un code pour que l'application s'exécute en arrière-plan.
  • Le développeur envoie une notification push à l'utilisateur de l'application. Le développeur envoie une notification push à l'utilisateur de l'application. La notification peut concerner n'importe quoi, qu'il s'agisse d'une nouvelle, d'un score sportif en direct ou d'une nouvelle demande d'ami
  • L'appareil de l'utilisateur reçoit la notification push, mais ne l'affiche pas encore à l'écran. iOS reconnaît que la notification push provient de l'application sociale et la réveille en arrière-plan. L'application est maintenant en cours d'exécution, mais l'utilisateur ne peut pas la voir ni interagir avec elle.
  • L'application exécute le code que le développeur a préparé en arrière-plan. Et bien que ce code puisse être inoffensif, par exemple pour ajouter des informations supplémentaires, telles que des images, à la notification, il peut également être utilisé pour collecter des données à partir de l'appareil de l'utilisateur et les envoyer aux serveurs du développeur

Ce système peut fournir aux développeurs une combinaison unique des caractéristiques logicielles et matérielles de l'appareil de l'utilisateur.

De nombreuses applications utilisent cette fonction pour envoyer des informations détaillées sur l'appareil tout en fonctionnant discrètement en arrière-plan. Il s'agit notamment de la durée de fonctionnement du système, de la localisation, de la langue du clavier, de la mémoire disponible, de l'état de la batterie, du modèle de l'appareil, de la luminosité de l'écran, pour n'en citer que quelques-uns.

Ces données peuvent ensuite être utilisées pour suivre l'utilisateur à travers les applications, souligne Mysk.

Quelles sont les données recueillies ?

Dans la vidéo décrivant les exemples de cette manipulation, Mysk montre les types de données qui peuvent être collectées par les entreprises de médias sociaux par le biais de l'échappatoire des notifications push. La collecte se fait soit par le biais des propres services de l'entreprise, soit à l'aide d'outils tiers, tels que les outils d'analyse de Google (Google Analytics et Firebase).

TikTok

Avec TikTok, par exemple, l'application envoie l'heure de démarrage de l'iPhone aux serveurs distants chaque fois qu'elle reçoit une notification push.

TikTok sends a lot of data to external servers

Cela signifie que TikTok sait exactement quand l'utilisateur a redémarré son iPhone pour la dernière fois. S'il est collecté sur une certaine période, le temps de démarrage peut indiquer à quelle fréquence l'utilisateur redémarre son iPhone, ce qui peut indiquer la fréquence d'utilisation ou la stabilité de l'appareil. Il peut également servir à identifier l'appareil de l'utilisateur ou à suivre son activité.

Lorsque l'application Facebook envoie une notification push au même appareil, Facebook reçoit les mêmes données concernant la dernière heure de démarrage de l'iPhone de l'utilisateur.

Facebook

Comme le note le chercheur, ceci pourrait faciliter le suivi de l'utilisateur à travers différentes applications. En effet, l'heure de démarrage peut servir d'identifiant unique pour l'appareil de l'utilisateur. Si, pour un même appareil, plusieurs applications collectent et envoient l'heure de démarrage au même serveur ou à des serveurs différents, ces serveurs peuvent comparer les données relatives à l'heure de démarrage et les relier au même appareil. Ils peuvent ainsi suivre le comportement et les préférences de l'utilisateur à travers différentes applications, même si l'utilisateur n'utilise pas le même compte ou les mêmes informations de connexion pour chaque application. Tout cela fait de l'exploitation de la fonction de notification push par les entreprises de médias sociaux une menace légitime pour la vie privée.

En outre, Mysk note que certaines applications, par exemple Facebook et TikTok, envoient également des données lorsqu'elles effacent leurs notifications dans le Centre de notifications, une fonction d'iOS qui permet d'avoir une vue d'ensemble des alertes provenant des applications.

Par exemple, lorsqu'un utilisateur efface une notification de Facebook, l'application envoie une demande contenant des informations détaillées, notamment sur la mémoire disponible, le dernier événement de l'application, comme le fait d'aimer une publication, le temps écoulé depuis le dernier événement de l'application, l'ID de l'acteur, qui identifie le compte de l'utilisateur sur Facebook, la taille de contenu préférée, l'horodatage (c'est-à-dire la date et l'heure exactes) lorsque la notification a été effacée, le type de connexion, et ainsi de suite.

When a user clear a Facebook notification, the app sends detailed information about the user to the external servers

Twitter (X) gère la collecte des informations de l'utilisateur plus ou moins de la même manière que Facebook et TikTok.

X/Twitter

Les trois entreprises utilisent Firebase, un service proposé par Google, note Mysk, qui ajoute que ***"la fréquence à laquelle de nombreuses applications envoient des informations sur l'appareil après avoir été déclenchées par une notification est époustouflante "***.

Nouvelles règles d'Apple pour les développeurs : qu'est-ce qui va changer ?

Mysk place beaucoup d'espoirs dans les nouvelles règles pour les développeurs qu'Apple a mises en place et qui entreront en vigueur au printemps. En dévoilant ces règles, Apple a annoncé que les développeurs devraient expliquer pourquoi leurs applications doivent utiliser certaines API (Application Programming Interfaces), qui sont des méthodes permettant à différentes applications de communiquer et de partager des données.

Les développeurs devront expliquer pourquoi ils ont besoin d'accéder aux informations relatives à l'appareil, non seulement pour leur propre code, mais aussi pour les kits de développement logiciel (SDK) tiers qu'ils ajoutent à leurs applications. Les applications et les SDK tiers devront rédiger une ou plusieurs "raisons approuvées " expliquant pourquoi ils ont besoin d'accéder aux données de l'appareil par le biais d'API spécifiques dans des documents distincts appelés "fichiers manifestes de confidentialité ". Ces raisons doivent être "cohérentes avec la fonctionnalité de l'application " Nous avons rédigé une analyse détaillée de la nouvelle exigence d'Apple pour les développeurs en août - à consulter ici.

Mais la question est de savoir si cela empêchera les entreprises de collecter des données à partir des applications par le biais de la porte dérobée des notifications push. En théorie, cela devrait être le cas, mais seulement si Apple applique sérieusement ces règles et surveille la conformité des développeurs. Ce qui n'est pas du tout garanti.

Nous pensons que les nouvelles règles amélioreront la situation, mais dans quelle mesure ? C'est une question difficile qui comporte de nombreuses variables. Les développeurs devront tenir compte des nouvelles règles, il y a donc des chances qu'ils essaient de les suivre de bonne foi. Toutefois, ceux qui veulent absolument continuer à collecter ces données choisiront probablement de prendre des risques. Il appartiendra alors à Apple et à ses évaluateurs de prendre ces applications en flagrant délit.

Quoi qu'il en soit, nous espérons qu'Apple adoptera une approche proactive et transparente en matière de respect de la vie privée, faute de quoi les données des utilisateurs continueront d'être menacées.

Vous avez aimé cet article ?

AdGuard pour Windows

AdGuard pour Windows est plus qu'un bloqueur de publicités. Il s'agit d'un outil polyvalent qui bloque les publicités, contrôle l'accès aux sites dangereux, accélère le chargement des pages et protège les enfants contre les contenus inappropriés.
Avis des utilisateurs : 14341
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
En savoir plus

AdGuard pour Mac

AdGuard pour Mac est un bloqueur de publicité unique conçu pour macOS. En plus de vous protéger contre les publicités gênantes dans les navigateurs et les applications, il vous protège contre le pistage, l'hameçonnage et la fraude.
Avis des utilisateurs : 14341
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
En savoir plus

AdGuard pour Android

AdGuard pour Android est la solution parfaite pour les appareils sur Android. Contrairement à la plupart des autres bloqueurs de publicité, AdGuard ne nécessite pas d'accès root et offre un large éventail d'options de gestion des applications.
Avis des utilisateurs : 14341
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation

AdGuard pour iOS

Le bloqueur de publicité le plus avancé pour Safari : il vous fait oublier les fenêtres publicitaires, accélère le chargement des pages et protège vos données personnelles. Un outil de blocage manuel des éléments et des paramètres hautement personnalisables vous permettent d'adapter le filtrage à vos besoins précis.
Avis des utilisateurs : 14341
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation

Extension de navigateur AdGuard

AdGuard est l'extension bloqueuse de pub la plus souple et rapide qui bloque tous les types de pub sur toutes les pages Web! Selectionnez le module AdGuard pour votre type de navigateur préféré et surfez le web en toute sécurité et sans publicité.
Avis des utilisateurs : 14341
4,7 sur 5

AdGuard pour Safari

Au moment ou Apple a décidé de forcer tout le monde à utiliser son SDK, les extensions bloqueuses de pub pour Safari sont entrés dans une période difficile. L'extension AdGuard doit ramener le blocage des pubs dans Safari au top.
Avis des utilisateurs : 14341
4,7 sur 5
App Store
Télécharger
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation

AdGuard Home

AdGuard Home est un logiciel anti-pub et anti-traçage qui fonctionne au niveau du système. Une fois installé, il fonctionnera sur TOUS vos appareils, et vous n'aurez pas besoin d'installer de logiciel-client. L'essor de l'Internet des objets et l'affluence d'appareils connectés rend nécessaire le contrôle de votre réseau dans son intégralité.
Avis des utilisateurs : 14341
4,7 sur 5

Bloqueur de contenu AdGuard

AdGuard content Blocker éliminera toutes sortes d'annonces dans les navigateurs mobiles qui soutiennent la technologie de bloqueur de contenu, à savoir, Samsung Internet et Yandex Browser. Tout en étant plus limité que AdGuard sous Android, il est gratuit, facile à installer et offre encore de haute qualité de blocage des annonces.
Avis des utilisateurs : 14341
4,7 sur 5
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
En savoir plus

Assistant AdGuard

Une extension de navigateur compagnon pour les applications pour ordinateur AdGuard. Elle offre un accès depuis le navigateur au blocage personnalisé d'éléments, à l'ajout de sites Web à la liste blanche et au signalement de bogue quelconque.
Avis des utilisateurs : 14341
4,7 sur 5
Assistant pour Chrome Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Firefox Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Edge Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Opera Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Yandex Est-ce votre navigateur actuel ?
Installer
En téléchargeant le programme, vous acceptez les termes des Conditions générales d'utilisation
Assistant pour Safari Est-ce votre navigateur actuel ?
Si vous ne trouvez pas votre navigateur, essayez l'ancienne version de l'Assistant, que vous trouverez dans les paramètres de l'extension AdGuard.

AdGuard Temp Mail β

Un générateur d'adresses e-mail temporaires gratuit qui vous permet de rester anonyme et de protéger votre vie privée. Pas de spam dans votre boîte de réception principale !
Avis des utilisateurs : 14341
4,7 sur 5

AdGuard pour Android TV

AdGuard pour Android TV est la seule application qui bloque les publicités, protège votre vie privée et agit comme un pare-feu pour votre Smart TV. Recevez des avertissements sur les menaces web, utilisez des DNS sécurisés et bénéficiez d'un trafic chiffré. Détendez-vous et plongez dans vos émissions préférées avec une sécurité de premier ordre et zéro publicité !
Avis des utilisateurs : 14341
4,7 sur 5
Téléchargement de AdGuard Pour installer AdGuard, cliquez le fichier indiqué par la flèche Sélectionnez « Ouvrir » et cliquez sur « OK », puis attendez que le fichier soit téléchargé. Dans la fenêtre ouverte, faites glisser l'icône AdGuard dans le dossier « Applications ». Merci d'avoir choisi AdGuard! Sélectionnez « Ouvrir » et cliquez sur « OK », puis attendez que le fichier soit téléchargé. Dans la fenêtre ouverte, cliquez sur « Installer ». Merci d'avoir choisi AdGuard!
Installer AdGuard sur votre appareil mobile