Depuis des années, Apple vante iOS comme un système d’exploitation centré sur la confidentialité. Pourtant, une récente enquête menée par les chercheurs en cybersécurité Mysk met en lumière une pratique inquiétante : des applications comme Instagram, Facebook, Messenger, TikTok ou encore X exploitent les notifications push pour siphonner discrètement des données utilisateur.
🔍 Comment ça marche ?
Normalement, une notification push sert à vous prévenir d’un nouvel événement : un message reçu, un commentaire, une alerte d’actualité… Mais techniquement, iOS accorde à l’application quelques secondes d’exécution en arrière-plan pour personnaliser la notification.
👉 Problème : ce laps de temps est utilisé par certaines apps pour envoyer des données analytiques à leurs serveurs, sans interaction de l’utilisateur.
Selon Mysk :
- TikTok envoie jusqu’à l’heure exacte du dernier redémarrage de l’iPhone.
- Facebook/Instagram collectent des informations comme l’adresse IP, la langue du clavier, l’état de la batterie, la mémoire disponible, l’usage CPU, le volume, le fuseau horaire, etc.
Ces données permettent de créer une empreinte numérique unique (fingerprinting), qui sert au suivi publicitaire malgré les interdictions explicites d’Apple.
📸 Le cas Instagram : une impression = une requête = du tracking
Dans un tweet, Mysk révèle qu’Instagram teste des notifications iOS affichant la photo de profil de l’expéditeur. Chaque fois qu’une notification s’affiche sur l’écran, l’application effectue une requête GET vers les serveurs de Meta pour récupérer cette image.
https://twitter.com/mysk_co/status/1967327859518951905/photo/2
➡️ Conséquence : chaque affichage de notification devient une donnée de tracking, même si vous n’ouvrez pas l’application.
⚠️ Le rôle de Firebase (Google)
Derrière la majorité des notifications push iOS (hors iMessage), on retrouve Firebase Cloud Messaging (FCM), la solution de Google.
Concrètement :
- Toutes ces données transitent par les serveurs de Google avant d’arriver sur votre iPhone.
- Cela signifie que Google peut voir et corréler les métadonnées de notifications de multiples applications installées sur un même appareil.
- Résultat : même si vous n’utilisez pas de services Google, vos habitudes, votre appareil et votre activité peuvent être recoupés par Google grâce à ce point central.
En clair, Meta (Facebook, Instagram, WhatsApp, Threads…) collecte déjà des informations via ce système. Mais Google, en tant qu’opérateur technique des pushs iOS, est aussi en position d’accéder à une mine de données trans-applications, lui donnant un potentiel de traçage massif.
📰 L’affaire Meta et Apple
Le site 9to5Mac a récemment révélé que Meta aurait détourné les règles d’Apple en matière de confidentialité et licencié un employé qui avait signalé la pratique.
Apple interdit explicitement ce type d’utilisation des notifications, mais jusqu’ici, les contrôles semblent laxistes.
✅ Que faire ?
- Limiter les notifications push : désactivez celles qui ne sont pas indispensables.
- Privilégier les versions web : comme le recommande Mysk, utiliser Instagram ou Facebook depuis le navigateur réduit considérablement ces pratiques de collecte.
- Demander plus de transparence : la régulation et les audits indépendants sont nécessaires, car les promesses de confidentialité ne suffisent pas.
🚨 Conclusion
Ce que révèle Mysk est simple : les notifications push, censées améliorer l’expérience utilisateur, se transforment en outil de surveillance.
Entre Meta qui exploite chaque affichage pour tracker et Google qui, via Firebase, a une vision transversale de milliers d’apps, l’iPhone n’est pas aussi “privé” qu’Apple le laisse entendre.
La prochaine fois que vous laissez une app vous envoyer des notifications, souvenez-vous : derrière l’alerte, il y a peut-être une requête silencieuse qui alimente votre profil publicitaire.
Sources
Documentation Google – Firebase Cloud Messaging (FCM)
Mysk – Vidéo #Privacy: Facebook, TikTok, and Other Apps Use Push Notifications to Send Data about Your iPhone (YouTube, 2025)
Mysk (@mysk_co) – Tweets sur l’exploitation des notifications iOS par Instagram et Meta (2025)
9to5Mac – Meta allegedly bypassed Apple privacy measure and fired employee who flagged it (21 août 2025)
Documentation Apple – APNs (Apple Push Notification service)