Le fondateur de Telegram alerte : les notifications push, une faille de confidentialité sous-estimée

Pavel Durov, cofondateur de Telegram, avertit que les notifications push représentent un risque sous-estimé pour la vie privée des utilisateurs. Selon lui, les données peuvent rester accessibles via ces notifications, même après la suppression des messages ou des applications d’un appareil. Cette alerte fait suite à un rapport révélant que le FBI américain a pu reconstruire des messages Signal supprimés grâce aux journaux de notifications sur un iPhone.

Le FBI a lu des messages supprimés via les notifications

D’après un rapport de 404 Media, le FBI a réussi à récupérer des messages supprimés d’un utilisateur de Signal. Non pas en cassant le chiffrement de l’application, mais en accédant aux journaux de notifications de l’appareil.

Cela est surprenant car Signal est reconnu comme l’une des applications de messagerie les plus sûres au monde. Les messages avaient été supprimés dans l’application, mais leur contenu était toujours stocké dans les journaux système de l’iPhone via des notifications push précédemment reçues.

Pourquoi les notifications push sont dangereuses

Les notifications push sont traitées en dehors de l’environnement chiffré d’une application. Lorsque vous recevez une notification, son contenu peut être enregistré dans les journaux système de votre téléphone, sur lesquels l’application elle-même n’a plus de contrôle.

Même si vous désactivez les aperçus de notification sur votre propre appareil, vous n’êtes pas entièrement protégé. Vous n’avez pas de contrôle sur les paramètres de la personne avec qui vous communiquez. Si cette personne active les aperçus, le contenu de vos messages peut tout de même se retrouver dans les journaux d’un autre appareil.

Le chiffrement de bout en bout n’est pas infaillible

Cette affaire révèle un problème plus large. Le chiffrement de bout en bout protège le contenu des messages lors de l’envoi, mais une fois qu’un message atteint l’appareil, d’autres règles s’appliquent. Les métadonnées, journaux de notifications et autres données techniques peuvent toujours fournir des informations aux chercheurs ou aux services de renseignement.

Cela ne signifie pas que le chiffrement est inutile. Il reste la meilleure protection contre l’interception en cours de route. Mais ce n’est pas une solution complète pour la confidentialité, surtout si le système d’exploitation du téléphone lui-même conserve des données.

Intérêt croissant pour les alternatives

Les préoccupations concernant la vie privée stimulent la demande pour des moyens de communication alternatifs. Les applications décentralisées, qui ne dépendent pas de serveurs centraux, gagnent du terrain. Bitchat, une application de messagerie peer-to-peer fonctionnant via Bluetooth sans connexion Internet, a été téléchargée plus de 48 000 fois lors d’un blocage des réseaux sociaux au Népal.

L’utilisation des services VPN augmente également. Selon Durov, les interdictions gouvernementales sur des plateformes comme Telegram ont souvent l’effet inverse. En Iran, plus de 50 millions d’utilisateurs ont téléchargé l’application malgré une interdiction prolongée, via des connexions VPN.

Que pouvez-vous faire vous-même

L’avertissement de Durov est pertinent pour quiconque accorde de l’importance à la vie privée. Désactivez les aperçus de notification pour les applications sensibles. Soyez conscient que la personne à l’autre bout doit également le faire. Et sachez que les messages supprimés ne sont pas toujours vraiment disparus s’ils sont apparus un jour comme notification sur votre écran.