{"id":1283,"date":"2025-09-15T23:06:27","date_gmt":"2025-09-15T21:06:27","guid":{"rendered":"https:\/\/dyb.fr\/?p=1283"},"modified":"2025-11-15T14:14:39","modified_gmt":"2025-11-15T13:14:39","slug":"iphone-et-vie-privee-quand-les-notifications-deviennent-un-outil-de-surveillance","status":"publish","type":"post","link":"https:\/\/dyb.eu\/blog\/iphone-et-vie-privee-quand-les-notifications-deviennent-un-outil-de-surveillance\/","title":{"rendered":"iPhone et vie priv\u00e9e : quand les notifications deviennent un outil de surveillance"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Depuis des ann\u00e9es, Apple vante iOS comme un syst\u00e8me d\u2019exploitation centr\u00e9 sur la confidentialit\u00e9. Pourtant, une r\u00e9cente enqu\u00eate men\u00e9e par les chercheurs en cybers\u00e9curit\u00e9 <strong>Mysk<\/strong> met en lumi\u00e8re une pratique inqui\u00e9tante : <strong>des applications comme Instagram, Facebook, Messenger, TikTok ou encore X exploitent les notifications push pour siphonner discr\u00e8tement des donn\u00e9es utilisateur<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\ud83d\udd0d Comment \u00e7a marche ?<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Normalement, une notification push sert \u00e0 vous pr\u00e9venir d\u2019un nouvel \u00e9v\u00e9nement : un message re\u00e7u, un commentaire, une alerte d\u2019actualit\u00e9\u2026 Mais techniquement, iOS accorde \u00e0 l\u2019application quelques secondes d\u2019ex\u00e9cution en arri\u00e8re-plan pour personnaliser la notification.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\ud83d\udc49 Probl\u00e8me : ce laps de temps est utilis\u00e9 par certaines apps pour <strong>envoyer des donn\u00e9es analytiques<\/strong> \u00e0 leurs serveurs, sans interaction de l\u2019utilisateur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Selon Mysk :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>TikTok<\/strong> envoie jusqu\u2019\u00e0 l\u2019heure exacte du dernier red\u00e9marrage de l\u2019iPhone.<\/li>\n\n\n\n<li><strong>Facebook\/Instagram<\/strong> collectent des informations comme l\u2019adresse IP, la langue du clavier, l\u2019\u00e9tat de la batterie, la m\u00e9moire disponible, l\u2019usage CPU, le volume, le fuseau horaire, etc.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Ces donn\u00e9es permettent de cr\u00e9er une <strong>empreinte num\u00e9rique unique<\/strong> (fingerprinting), qui sert au suivi publicitaire malgr\u00e9 les interdictions explicites d\u2019Apple.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\ud83d\udcf8 Le cas Instagram : une impression = une requ\u00eate = du tracking<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Dans un tweet, <strong>Mysk r\u00e9v\u00e8le qu\u2019Instagram teste des notifications iOS affichant la photo de profil de l\u2019exp\u00e9diteur<\/strong>. Chaque fois qu\u2019une notification s\u2019affiche sur l\u2019\u00e9cran, l\u2019application effectue une requ\u00eate GET vers les serveurs de Meta pour r\u00e9cup\u00e9rer cette image.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a href=\"https:\/\/twitter.com\/mysk_co\/status\/1967327859518951905\/photo\/2\">https:\/\/twitter.com\/mysk_co\/status\/1967327859518951905\/photo\/2<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u27a1\ufe0f Cons\u00e9quence : <strong>chaque affichage de notification devient une donn\u00e9e de tracking<\/strong>, m\u00eame si vous n\u2019ouvrez pas l\u2019application.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u26a0\ufe0f Le r\u00f4le de Firebase (Google)<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Derri\u00e8re la majorit\u00e9 des notifications push iOS (hors iMessage), on retrouve <strong>Firebase Cloud Messaging (FCM)<\/strong>, la solution de Google.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Concr\u00e8tement :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Toutes ces donn\u00e9es transitent <strong>par les serveurs de Google<\/strong> avant d\u2019arriver sur votre iPhone.<\/li>\n\n\n\n<li>Cela signifie que <strong>Google peut voir et corr\u00e9ler les m\u00e9tadonn\u00e9es de notifications de multiples applications<\/strong> install\u00e9es sur un m\u00eame appareil.<\/li>\n\n\n\n<li>R\u00e9sultat : m\u00eame si vous n\u2019utilisez pas de services Google, <strong>vos habitudes, votre appareil et votre activit\u00e9 peuvent \u00eatre recoup\u00e9s par Google gr\u00e2ce \u00e0 ce point central<\/strong>.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">En clair, Meta (Facebook, Instagram, WhatsApp, Threads\u2026) collecte d\u00e9j\u00e0 des informations via ce syst\u00e8me. Mais <strong>Google, en tant qu\u2019op\u00e9rateur technique des pushs iOS, est aussi en position d\u2019acc\u00e9der \u00e0 une mine de donn\u00e9es trans-applications<\/strong>, lui donnant un potentiel de tra\u00e7age massif.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\ud83d\udcf0 L\u2019affaire Meta et Apple<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le site <a href=\"https:\/\/9to5mac.com\/2025\/08\/21\/meta-allegedly-bypassed-apple-privacy-measure-and-fired-employee-who-flagged-it\/\">9to5Mac<\/a> a r\u00e9cemment r\u00e9v\u00e9l\u00e9 que Meta aurait <strong>d\u00e9tourn\u00e9 les r\u00e8gles d\u2019Apple en mati\u00e8re de confidentialit\u00e9<\/strong> et licenci\u00e9 un employ\u00e9 qui avait signal\u00e9 la pratique.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Apple interdit explicitement ce type d\u2019utilisation des notifications, mais jusqu\u2019ici, les contr\u00f4les semblent laxistes.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u2705 Que faire ?<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Limiter les notifications push<\/strong> : d\u00e9sactivez celles qui ne sont pas indispensables.<\/li>\n\n\n\n<li><strong>Privil\u00e9gier les versions web<\/strong> : comme le recommande Mysk, utiliser Instagram ou Facebook depuis le navigateur r\u00e9duit consid\u00e9rablement ces pratiques de collecte.<\/li>\n\n\n\n<li><strong>Demander plus de transparence<\/strong> : la r\u00e9gulation et les audits ind\u00e9pendants sont n\u00e9cessaires, car les promesses de confidentialit\u00e9 ne suffisent pas.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\ud83d\udea8 Conclusion<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ce que r\u00e9v\u00e8le Mysk est simple : <strong>les notifications push, cens\u00e9es am\u00e9liorer l\u2019exp\u00e9rience utilisateur, se transforment en outil de surveillance<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Entre Meta qui exploite chaque affichage pour tracker et Google qui, via Firebase, a une vision transversale de milliers d\u2019apps, <strong>l\u2019iPhone n\u2019est pas aussi \u201cpriv\u00e9\u201d qu\u2019Apple le laisse entendre<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La prochaine fois que vous laissez une app vous envoyer des notifications, souvenez-vous : derri\u00e8re l\u2019alerte, il y a peut-\u00eatre une requ\u00eate silencieuse qui alimente votre profil publicitaire.<\/p>\n\n\n\n<details class=\"wp-block-details is-layout-flow wp-block-details-is-layout-flow\"><summary>Sources<\/summary>\n<p class=\"wp-block-paragraph\">Documentation Google \u2013 <em>Firebase Cloud Messaging (FCM)<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Mysk<\/strong> \u2013 Vid\u00e9o <em>#Privacy: Facebook, TikTok, and Other Apps Use Push Notifications to Send Data about Your iPhone<\/em> (YouTube, 2025)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Mysk (@mysk_co)<\/strong> \u2013 Tweets sur l\u2019exploitation des notifications iOS par Instagram et Meta (2025)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>9to5Mac<\/strong> \u2013 <a href=\"https:\/\/9to5mac.com\/2025\/08\/21\/meta-allegedly-bypassed-apple-privacy-measure-and-fired-employee\/\"><em>Meta allegedly bypassed Apple privacy measure and fired employee who flagged it<\/em><\/a> (21 ao\u00fbt 2025)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Documentation Apple \u2013 <em>APNs (Apple Push Notification service)<\/em><\/p>\n<\/details>\n","protected":false},"excerpt":{"rendered":"<p>Les notifications push de votre iPhone ne servent pas qu\u2019\u00e0 afficher des alertes : elles peuvent aussi devenir un outil de collecte de donn\u00e9es. Le chercheur en cybers\u00e9curit\u00e9 Mysk a r\u00e9v\u00e9l\u00e9 que des applications comme Instagram, Facebook, TikTok, Messenger ou X profitent du temps d\u2019ex\u00e9cution accord\u00e9 par iOS pour envoyer des informations d\u00e9taill\u00e9es vers leurs serveurs : adresse IP, m\u00e9moire disponible, batterie, fuseau horaire, langue du clavier\u2026 Ces donn\u00e9es permettent de cr\u00e9er un fingerprinting unique et de suivre les utilisateurs malgr\u00e9 les r\u00e8gles de confidentialit\u00e9 d\u2019Apple.<\/p>\n<p>Plus inqui\u00e9tant encore : derri\u00e8re la majorit\u00e9 des notifications iOS se cache Firebase Cloud Messaging (Google), qui re\u00e7oit et transmet ces donn\u00e9es. R\u00e9sultat : Google est en position de recouper les m\u00e9tadonn\u00e9es de multiples apps sur un m\u00eame appareil.<\/p>\n","protected":false},"author":1,"featured_media":1284,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22,11,37],"tags":[41,21],"class_list":["post-1283","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite","category-featured","category-news","tag-apple","tag-cybersecurite"],"_links":{"self":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1283","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/comments?post=1283"}],"version-history":[{"count":1,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1283\/revisions"}],"predecessor-version":[{"id":100296,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1283\/revisions\/100296"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media\/1284"}],"wp:attachment":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media?parent=1283"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/categories?post=1283"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/tags?post=1283"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}