L'application mobile du gouvernement égyptien suscite des craintes de la part des responsables de la sécurité. L'analyse de POLITICO, un média politique américain basé à Washington, montre qu'elle peut écouter des conversations privées et accéder à des textes chiffrés. Les conseillers occidentaux en matière de sécurité avertissent les délégués participant au sommet sur le climat COP27 de ne pas télécharger l'application officielle pour smartphone du gouvernement égyptien hôte, par crainte qu'elle ne soit utilisée pour pirater leurs courriels, textes et même conversations vocales privés.L'application fournirait également au ministère égyptien des communications et des technologies de l'information, qui l'a créée, d'autres privilèges dits « backdoor », c'est-à-dire la possibilité de scanner les appareils des utilisateurs. Sur les smartphones fonctionnant sous le logiciel Android de Google, il a la permission d'écouter les conversations des utilisateurs via l'application, même lorsque l'appareil est en mode veille, selon les experts et l'analyse séparée de POLITICO. Elle peut également localiser les personnes via les technologies GPS et Wi-Fi intégrées au smartphone.
Envoyé par Extrait d'un rapport
Des responsables politiques d'Allemagne, de France et du Canada figuraient parmi ceux qui avaient téléchargé l'application le 8 novembre, selon deux responsables de la sécurité occidentale informés des discussions au sein de ces délégations au sommet des Nations unies sur le climat.
D'autres gouvernements occidentaux ont conseillé à leurs fonctionnaires de ne pas télécharger l'application, a déclaré un autre responsable d'un gouvernement européen. Tous ces responsables se seraient exprimés sous couvert d'anonymat pour discuter des délibérations des gouvernements internationaux.
La vulnérabilité potentielle de l'application Android, qui a été téléchargée des milliers de fois et constitue une passerelle pour les participants à la COP27, a été confirmée séparément par quatre experts en cybersécurité qui ont examiné l'application numérique pour POLITICO.
L'application est présentée comme un outil destiné à aider les participants à s'orienter lors de l'événement. Mais elle risque de donner au gouvernement égyptien la possibilité de lire les courriels et les messages des utilisateurs. Même les messages échangés via des services chiffrés comme WhatsApp sont vulnérables, selon l'examen technique de l'application par POLITICO et deux des experts extérieurs.
D'autres gouvernements occidentaux ont conseillé à leurs fonctionnaires de ne pas télécharger l'application, a déclaré un autre responsable d'un gouvernement européen. Tous ces responsables se seraient exprimés sous couvert d'anonymat pour discuter des délibérations des gouvernements internationaux.
La vulnérabilité potentielle de l'application Android, qui a été téléchargée des milliers de fois et constitue une passerelle pour les participants à la COP27, a été confirmée séparément par quatre experts en cybersécurité qui ont examiné l'application numérique pour POLITICO.
L'application est présentée comme un outil destiné à aider les participants à s'orienter lors de l'événement. Mais elle risque de donner au gouvernement égyptien la possibilité de lire les courriels et les messages des utilisateurs. Même les messages échangés via des services chiffrés comme WhatsApp sont vulnérables, selon l'examen technique de l'application par POLITICO et deux des experts extérieurs.
« L'application est une cyber-arme », a déclaré un expert en sécurité après l'avoir examinée, qui s'est exprimé sous couvert d'anonymat pour protéger ses collègues participant à la COP.
Tous les experts ne sont pas d'accord sur les risques
Paul Shunk, ingénieur en renseignement de sécurité au sein de l'entreprise de cybersécurité Lookout, a déclaré qu'il n'avait trouvé aucune preuve que l'application avait accès aux e-mails, qualifiant d' « étrange » l'idée qu'elle présente un risque de surveillance. Il est convaincu que l'application n'a pas été conçue comme un logiciel espion classique, ce qui laisse planer un doute sur les allégations selon lesquelles l'application fonctionnerait comme un dispositif d'écoute. Shunk a déclaré que l'application ne pouvait pas enregistrer de sons si elle fonctionnait en arrière-plan, ce qui la rend « presque totalement inadaptée à l'espionnage des utilisateurs ».
L'application COP27 utilise systématiquement la géolocalisation selon Shunk, mais apparemment à des fins légitimes, comme la planification de l'itinéraire des participants au sommet. Elle n'a pas la capacité d'accéder à la localisation en arrière-plan, sur la base des autorisations Android, ce dont l'application aurait besoin pour un suivi continu de la localisation, a-t-il ajouté.
Google et Apple ont tous deux autorisé l'application à figurer dans leurs magasins d'applications respectifs. Tous les analystes n'ont examiné que la version Android de l'application, et non l'application distincte créée pour les appareils d'Apple. Google aurait également déclaré avoir examiné l'application et n'avoir constaté aucune violation de ses règles de fonctionnement.
Google aurait également déclaré avoir examiné l'application et n'avoir constaté aucune violation de ses règles de fonctionnement. Cependant, POLITICO déclare avoir vérifié les risques de sécurité potentiels de l'application via deux outils de cybersécurité open source, qui ont tous deux soulevé des inquiétudes quant à sa capacité à écouter les conversations des personnes, à suivre leur localisation et à modifier le fonctionnement de l'application sans demander la permission.
« Une évaluation de la cybersécurité a été faite. Et elle a complètement réfuté cette affirmation », a déclaré jeudi à la presse Wael Aboulmagd, représentant spécial de l'Égypte auprès du président de la COP27, en référence à la menace que représente l'application pour la sécurité.
Le risque potentiel pour la sécurité survient alors que des milliers d'officiels de haut niveau descendent à Sharm El-Sheikh, parmi les participants à la COP27 figurent des dirigeants mondiaux tels que le président français Emmanuel Macron, le premier ministre britannique Rishi Sunak et le secrétaire d'État américain Antony Blinken, bien qu'il soit peu probable que des politiciens de cette envergure téléchargent l'application d'un autre gouvernement.
Les antécédents de l'Égypte
Les antécédents du gouvernement égyptien en matière de surveillance de son peuple viennent s'ajouter aux préoccupations des groupes de défense des droits. Dans le sillage du « printemps arabe », le Caire a pris des mesures énergiques contre les dissidents et a utilisé des règles d'urgence locales pour suivre les activités en ligne et hors ligne de ses citoyens, selon un rapport de Privacy International, une organisation à but non lucratif.
Dans le cadre de l'avis de confidentialité de l'application pour smartphone, le gouvernement égyptien indique qu'il a le droit d'utiliser les informations fournies par ceux qui ont téléchargé l'application, notamment les emplacements GPS, l'accès à la caméra, les photos et les détails du Wi-Fi. « Notre application se réserve le droit d'accéder aux comptes des clients à des fins techniques et administratives et pour des raisons de sécurité », indique la déclaration de confidentialité.
Il s'agit notamment du droit pour l'application de suivre ce que les participants font sur d'autres applications de leur téléphone, de connecter les smartphones des utilisateurs via Bluetooth à d'autres matériels d'une manière qui pourrait conduire à un transfert de données sur des appareils appartenant au gouvernement, et de relier de manière indépendante les téléphones des individus à des réseaux Wi-Fi, ou de passer des appels en leur nom à leur insu.
« Le gouvernement égyptien ne peut pas se voir confier la gestion des données personnelles des citoyens, compte tenu de son triste bilan en matière de droits humains et de son mépris flagrant pour la vie privée », a déclaré Fatafta, la militante des droits numériques.
Source : POLITICO
Quel est votre avis sur le sujet ? Quel crédit accorder aux allégations formulées par les conseillers occidentaux ?Voir aussi :
Des millions de dossiers .git exposés publiquement par erreur, une nouvelle étude le montre 87 % des entreprises s'attendent à ce que les solutions sans mot de passe deviennent la principale approche pour sécuriser les identités des employés d'ici cinq ans, selon Secret Double Octopus 
