Il y a peu, le sénateur de l'Oregon Ron Wyden a mis en lumière une méthode de pistage bien particulière : il est possible d’en savoir plus sur une personne grâce aux métadonnées des notifications push reçue sur son smartphone. Celles-ci transitent en grande partie sur les serveurs d’Apple et de Google, les deux entreprises ayant confirmé qu’elles faisaient l'objet de telles requêtes de la part de gouvernements. Reuters a remarqué qu’Apple avait discrètement mis à jour son document de directives concernant les procédures judiciaires. Une nouvelle ligne précise que des mandats de perquisition et des ordonnances judiciaires sont désormais obligatoires pour qu'Apple puisse communiquer l’identifiant Apple associé à un jeton de service de notifications push.
Les notifications push peuvent en effet divulguer certaines informations à Apple et à Google, par exemple quelle application a reçu une notification, à quelle heure et sur quel compte utilisateurs. Des fragments d’informations qui n’ont l’air de rien, mais qui peuvent permettre de déduire de nombreux éléments sur une personne.
Cette méthode de pistage était jusqu’à présent secrète, mais la démarche du sénateur Ron Wyden a permis de la rendre publique. Apple avait alors précisé qu’elle allait mettre à jour ses rapports de transparence pour détailler ce type de demandes. Elle a également amendé son document destiné aux autorités, indiquant désormais qu’elle a besoin d'une ordonnance d'un juge pour transmettre aux forces de l'ordre des informations sur les notifications push de ses utilisateurs. Une précédente version du document mise à jour suite aux révélations ne mentionnait qu’une simple injonction (« subpoena »), montrant qu’Apple a revu ses procédures.
Apple rattrape son retard sur Google, qui avait déjà une telle politique en place. Cupertino n'a pas fait de déclaration officielle. Ce changement a satisfait le sénateur Ron Wyden, qui a déclaré à Reuters que Cupertino « faisait ce qu’il faut ». Le nombre de demandes de ce genre est pour le moment inconnu, Apple et Google ne les ayant pas encore détaillés.
