une application officielle trop curieuse pour être honnête ?

Publié le : 07/11/2022 – 17:36

C’est une Conférence sur le climat sous très étroite surveillance qui a commencé dimanche 6 novembre en Égypte. Des associations de défense des droits de l’Homme et des experts en sécurité informatique ont mis en garde contre l’application officielle mise à disposition des participants à la COP27. Ils estiment qu’il s’agit d’une arme d’espionnage massif pour le régime du président Abdel Fattah al-Sissi.

« Ce n’est pas l’application officielle de l’ONU qui est en cause ; c’est celle développée par le gouvernement égyptien qui nous dérange », précise Katharina Rall, qui a participé à l’enquête de Human Rights Watch sur les dispositifs répressifs mis en place par l’Égypte en amont de la COP27.

Accès à tout, tout le temps

Déployée depuis le 24 octobre, l’application égyptienne est censée « améliorer l’expérience de la COP27 pour tous les participants ». Elle permet de gérer les réservations de vols, d’hôtels, les informations relatives au Covid-19, les agendas des rendez-vous sur place ainsi que le calendrier des négociations et tables rondes.

Cet outil tout-en-un a déjà séduit plus de 5 000 délégués et visiteurs (sur un total de 44 000 inscrits) qui ont probablement dû être rassurés par le fait que cette application égyptienne est promue sur le site officiel onusien de la COP27. Une mise en avant qui « nous semble très problématique, et on est en droit de se demander pourquoi il n’y a pas eu de vérification en amont », déplore Katharina Rall.

>> À lire aussi : « À quoi va servir la conférence du climat qui s’ouvre en Égypte ? »

Car il n’a pas fallu longtemps aux experts en cybersécurité pour se rendre compte qu’il s’agit « d’une caricature de supervilain déguisé en application pour smartphone », résume Gennie Gebhart, directrice des campagnes de l’Electronic Frontier Foundation, interrogée par le quotidien britannique The Guardian.

Difficile, en effet, d’imaginer plus intrusif : l’application « demande l’accès à tous les connecteurs de communication du smartphone, tels que le bluetooth, le GPS, la caméra, le micro, le carnet d’adresses, le NFC [« near-field communication », ou « communication en champ proche » (CCP), une technologie de communication sans fil à très courte distance, NDLR] », énumère Frans Imbert-Vier, PDG d’Ubcom, une agence suisse de cybersécurité qui a analysé le service mobile développé par les Égyptiens.

Difficile de s’en débarrasser

L’application n’agit pas comme d’autres le font, en prévenant qu’elles veulent avoir accès à telle ou telle fonction du smartphone. « Dans ce cas-là, un certificat de confiance sans limite est soumis à l’utilisateur », précise Frans Imbert-Vier. Après avoir accepté, le système d’exploitation du téléphone estime que l’application peut faire plus ou moins ce qu’elle veut.

Concrètement, elle transmet les données de géolocalisation, les photos prises, les messages échangés et permet l’accès au contenu des e-mails envoyés, a constaté The Guardian, qui a effectué sa propre évaluation de la sécurité de ce quasi-logiciel espion.

Les utilisateurs ne peuvent pas simplement refuser d’autoriser l’accès à certaines fonctions tout en continuant à utiliser l’application, avertit Frans Imbert-Vier. C’est tout ou rien, même si tous les experts interrogés s’accordent à dire qu’une telle application n’a nullement besoin d’avoir accès aux e-mails ou au micro, par exemple, pour les services qu’elle propose.

En outre, « il ne suffit pas de désinstaller l’application pour s’en débarrasser », avertit Katharina Rall, de Human Rights Watch. Les éléments qui permettent d’espionner les communications continuent à traîner sur le smartphone. « Il faut réinitialiser les paramètres du système d’exploitation [une opération qui permet de nettoyer uniquement le cœur du smartphone, NDLR] pour tout remettre en ordre », ajoute Frans Imbert-Vier.

Comme la Chine et le Qatar

Les autorités égyptiennes ont ainsi mis au point le parfait petit cyberespion dont on se débarrasse difficilement et qui, en plus, furète avec le consentement de la victime.

Pour le régime d’Al-Sissi, « la COP27 devient ainsi une opportunité unique pour mettre à jour à peu de frais toutes leurs informations sur les diplomates et dignitaires de haut rang des pays présents à cet événement. Et en plus, c’est bien plus rapide et fiable que de faire tout un travail d’espionnage de terrain, puisque les informations sont fournies directement par la victime ! », affirme Frans Imbert-Vier.

C’est aussi une arme supplémentaire pour surveiller l’opposition interne. « Il ne faut pas oublier qu’une partie des participants à la COP27 sont des organisations locales, et la plupart des ONG internationales travaillent aussi avec des activistes égyptiens », souligne Katharina Rall.

Human Rights Watch craint que dans un pays qui compte des dizaines de milliers de détenus considérés comme des prisonniers politiques par des ONG, et qui a multiplié les arrestations en amont de la COP27, un outil comme l’application officielle puisse servir à accentuer la répression contre les dissidents.

L’Égypte n’est pas le premier pays à être accusé d’utiliser une application officielle pour un grand événement à des fins d’espionnage. Pour les Jeux olympiques d’hiver à Pékin en février 2022, la Chine avait demandé aux athlètes et participants de télécharger « My2022 », une application tout aussi intrusive.

Un scénario similaire semble se dessiner pour la Coupe du monde de football au Qatar qui commence dans moins de deux semaines. Deux applications – Ehteraz (l’équivalent local de StopCovid) et Hayya (pour suivre l’actualité du Mondial) – sont d’ores et déjà vivement critiquées pour donner aux autorités qataries un vaste accès aux informations sur les smartphones.

Autant d’exemples qui suggèrent que les régimes autoritaires utilisent de plus en plus les grands événements qu’ils organisent comme des plateformes pour étendre le champ de leur cybersurveillance.