Discussion :

[Bruno]

L'application égyptienne du sommet COP27 serait une cyber-arme,
avertissent les experts

L'application mobile du gouvernement égyptien suscite des craintes de la part des responsables de la sécurité. L'analyse de POLITICO, un média politique américain basé à Washington, montre qu'elle peut écouter des conversations privées et accéder à des textes chiffrés. Les conseillers occidentaux en matière de sécurité avertissent les délégués participant au sommet sur le climat COP27 de ne pas télécharger l'application officielle pour smartphone du gouvernement égyptien hôte, par crainte qu'elle ne soit utilisée pour pirater leurs courriels, textes et même conversations vocales privés.

L'application fournirait également au ministère égyptien des communications et des technologies de l'information, qui l'a créée, d'autres privilèges dits « backdoor », c'est-à-dire la possibilité de scanner les appareils des utilisateurs. Sur les smartphones fonctionnant sous le logiciel Android de Google, il a la permission d'écouter les conversations des utilisateurs via l'application, même lorsque l'appareil est en mode veille, selon les experts et l'analyse séparée de POLITICO. Elle peut également localiser les personnes via les technologies GPS et Wi-Fi intégrées au smartphone.

Des responsables politiques d'Allemagne, de France et du Canada figuraient parmi ceux qui avaient téléchargé l'application le 8 novembre, selon deux responsables de la sécurité occidentale informés des discussions au sein de ces délégations au sommet des Nations unies sur le climat.

D'autres gouvernements occidentaux ont conseillé à leurs fonctionnaires de ne pas télécharger l'application, a déclaré un autre responsable d'un gouvernement européen. Tous ces responsables se seraient exprimés sous couvert d'anonymat pour discuter des délibérations des gouvernements internationaux.

La vulnérabilité potentielle de l'application Android, qui a été téléchargée des milliers de fois et constitue une passerelle pour les participants à la COP27, a été confirmée séparément par quatre experts en cybersécurité qui ont examiné l'application numérique pour POLITICO.

L'application est présentée comme un outil destiné à aider les participants à s'orienter lors de l'événement. Mais elle risque de donner au gouvernement égyptien la possibilité de lire les courriels et les messages des utilisateurs. Même les messages échangés via des services chiffrés comme WhatsApp sont vulnérables, selon l'examen technique de l'application par POLITICO et deux des experts extérieurs.

L'application n'est rien de moins qu'« un outil de surveillance qui pourrait être utilisé par les autorités égyptiennes pour suivre les militants, les délégués du gouvernement et toute personne participant à la COP27 », a déclaré Marwa Fatafta, responsable des droits numériques pour le Moyen-Orient et l'Afrique du Nord chez Access Now, une organisation à but non lucratif de défense des droits numériques.

« L'application est une cyber-arme », a déclaré un expert en sécurité après l'avoir examinée, qui s'est exprimé sous couvert d'anonymat pour protéger ses collègues participant à la COP.

Tous les experts ne sont pas d'accord sur les risques

Paul Shunk, ingénieur en renseignement de sécurité au sein de l'entreprise de cybersécurité Lookout, a déclaré qu'il n'avait trouvé aucune preuve que l'application avait accès aux e-mails, qualifiant d' « étrange » l'idée qu'elle présente un risque de surveillance. Il est convaincu que l'application n'a pas été conçue comme un logiciel espion classique, ce qui laisse planer un doute sur les allégations selon lesquelles l'application fonctionnerait comme un dispositif d'écoute. Shunk a déclaré que l'application ne pouvait pas enregistrer de sons si elle fonctionnait en arrière-plan, ce qui la rend « presque totalement inadaptée à l'espionnage des utilisateurs ».

L'application COP27 utilise systématiquement la géolocalisation selon Shunk, mais apparemment à des fins légitimes, comme la planification de l'itinéraire des participants au sommet. Elle n'a pas la capacité d'accéder à la localisation en arrière-plan, sur la base des autorisations Android, ce dont l'application aurait besoin pour un suivi continu de la localisation, a-t-il ajouté.

Google et Apple ont tous deux autorisé l'application à figurer dans leurs magasins d'applications respectifs. Tous les analystes n'ont examiné que la version Android de l'application, et non l'application distincte créée pour les appareils d'Apple. Google aurait également déclaré avoir examiné l'application et n'avoir constaté aucune violation de ses règles de fonctionnement.

Google aurait également déclaré avoir examiné l'application et n'avoir constaté aucune violation de ses règles de fonctionnement. Cependant, POLITICO déclare avoir vérifié les risques de sécurité potentiels de l'application via deux outils de cybersécurité open source, qui ont tous deux soulevé des inquiétudes quant à sa capacité à écouter les conversations des personnes, à suivre leur localisation et à modifier le fonctionnement de l'application sans demander la permission.

« Une évaluation de la cybersécurité a été faite. Et elle a complètement réfuté cette affirmation », a déclaré jeudi à la presse Wael Aboulmagd, représentant spécial de l'Égypte auprès du président de la COP27, en référence à la menace que représente l'application pour la sécurité.

Le risque potentiel pour la sécurité survient alors que des milliers d'officiels de haut niveau descendent à Sharm El-Sheikh, parmi les participants à la COP27 figurent des dirigeants mondiaux tels que le président français Emmanuel Macron, le premier ministre britannique Rishi Sunak et le secrétaire d'État américain Antony Blinken, bien qu'il soit peu probable que des politiciens de cette envergure téléchargent l'application d'un autre gouvernement.

Les antécédents de l'Égypte

Les antécédents du gouvernement égyptien en matière de surveillance de son peuple viennent s'ajouter aux préoccupations des groupes de défense des droits. Dans le sillage du « printemps arabe », le Caire a pris des mesures énergiques contre les dissidents et a utilisé des règles d'urgence locales pour suivre les activités en ligne et hors ligne de ses citoyens, selon un rapport de Privacy International, une organisation à but non lucratif.

Dans le cadre de l'avis de confidentialité de l'application pour smartphone, le gouvernement égyptien indique qu'il a le droit d'utiliser les informations fournies par ceux qui ont téléchargé l'application, notamment les emplacements GPS, l'accès à la caméra, les photos et les détails du Wi-Fi. « Notre application se réserve le droit d'accéder aux comptes des clients à des fins techniques et administratives et pour des raisons de sécurité », indique la déclaration de confidentialité.

Il s'agit notamment du droit pour l'application de suivre ce que les participants font sur d'autres applications de leur téléphone, de connecter les smartphones des utilisateurs via Bluetooth à d'autres matériels d'une manière qui pourrait conduire à un transfert de données sur des appareils appartenant au gouvernement, et de relier de manière indépendante les téléphones des individus à des réseaux Wi-Fi, ou de passer des appels en leur nom à leur insu.

« Le gouvernement égyptien ne peut pas se voir confier la gestion des données personnelles des citoyens, compte tenu de son triste bilan en matière de droits humains et de son mépris flagrant pour la vie privée », a déclaré Fatafta, la militante des droits numériques.

Source : POLITICO

Quel est votre avis sur le sujet ?

Quel crédit accorder aux allégations formulées par les conseillers occidentaux ?

Voir aussi :

Des millions de dossiers .git exposés publiquement par erreur, une nouvelle étude le montre

87 % des entreprises s'attendent à ce que les solutions sans mot de passe deviennent la principale approche pour sécuriser les identités des employés d'ici cinq ans, selon Secret Double Octopus

[AndMax]

Je suis allé sur le Play Store pour vérifier, et dans les permissions de l'application tout est clair sur ce que l'application peut faire:
- accéder à la caméra
- accéder au microphone (et enregistrer du son)
- accéder à la localisation précise
- tourner comme un service en avant plan (donc bouffer du CPU même si vous ne l'utilisez pas)
- se lancer au démarrage du téléphone
- avoir accès au réseau, se connecter et déconnecter du data, WiFi et Bluetooth
- empêcher le téléphone de se mettre en veille
etc...

et l'application fait plus de 44Mo pour son téléchargement (à multiplier par le nombre de mises à jour si ceci est automatique sur l'appareil de l'intéressé).

Donc oui, c'est un SCANDALE, pas forcément pour des questions de vie privée. Toutes les permissions sont là pour consommer du réseau, empêcher le téléphone d'être en veille et économiser de l'énergie, etc... Play Store affiche clairement que l'application a les droits pour amplifier les gaspillages de notre civilisation, et réduire la durée de vie des batteries des téléphones, et consommer de la bande passante. N'est-ce pas un comble pour un event comme une COP ?

Pour avoir de l'info sur quelque chose, ouvrez un navigateur web et vous trouverez les mêmes informations pour moins cher, moins de données téléchargées. Idem pour du guidage, il existe des applications dédiées à la navigation qui ne dépendent pas d'un gouvernement et qui ne consommeront votre batterie que lorsque vous en aurez besoin. Cette manie d'installer une application pour tout et n'importe quoi est dangereux et augmente la pollution numérique, donc l'émission de gaz à effet de serre. Que ce soit en réduisant la durée de vie de vos téléphones, ou augmenter les besoins en énergie du réseau et des terminaux, surtout dans des pays où la production électrique se fait à base d'énergies fossiles, en téléchargeant cette application vous avez tout faux.

Donc oui, toutes les applications de ce genre, qui ne vous laissent aucun contrôle sur leur démarrage et sur ce qu'elles font en arrière plan, ce sont des cyberarmes conçues pour consommer des ressources de votre téléphone à votre insu, consommer de la bande passante et de l'énergie et contribuer aux gaspillages de ressources. Dans certains cas, en plus, du jour au lendemain grâce à une mise à jour, elles peuvent se transformer en espiogiciel au service d'un gouvernement ou d'une organisation criminelle. N'installez pas ce genre d'applications, surtout si vous considérez que les sujets abordés lors d'une COP sont importants.