Appuyez sur play pour écouter cet article
Les conseillers occidentaux en matière de sécurité avertissent les délégués au sommet sur le climat de la COP27 de ne pas télécharger l’application officielle pour smartphone du gouvernement égyptien hôte, craignant qu’elle ne soit utilisée pour pirater leurs e-mails privés, leurs SMS et même leurs conversations vocales.
Les décideurs politiques d’Allemagne, de France et du Canada figuraient parmi ceux qui avaient téléchargé l’application le 8 novembre, selon deux responsables de la sécurité occidentaux distincts informés des discussions au sein de ces délégations lors du sommet de l’ONU sur le climat.
D’autres gouvernements occidentaux ont conseillé aux responsables de ne pas télécharger l’application, a déclaré un autre responsable d’un gouvernement européen. Tous les responsables ont parlé sous couvert d’anonymat pour discuter des délibérations internationales du gouvernement.
La vulnérabilité potentielle de l’application Android, qui a été téléchargée des milliers de fois et fournit une passerelle pour les participants à la COP27, a été confirmée séparément par quatre experts en cybersécurité qui ont examiné l’application numérique pour POLITICO.
L’application est présentée comme un outil pour aider les participants à naviguer dans l’événement. Mais cela risque de donner au gouvernement égyptien la permission de lire les e-mails et les messages des utilisateurs. Même les messages partagés via des services cryptés comme WhatsApp sont vulnérables, selon l’examen technique de l’application par POLITICO et deux des experts externes.
L’application fournit également au ministère égyptien des communications et des technologies de l’information, qui l’a créée, d’autres privilèges dits de porte dérobée, ou la possibilité de scanner les appareils des gens.
Sur les smartphones exécutant le logiciel Android de Google, il a la permission d’écouter potentiellement les conversations des utilisateurs via l’application, même lorsque l’appareil est en mode veille, selon les trois experts et l’analyse distincte de POLITICO. Il peut également suivre les emplacements des personnes via les technologies GPS et Wi-Fi intégrées du smartphone, selon deux des analystes.
L’application n’est rien de moins qu' »un outil de surveillance qui pourrait être militarisé par les autorités égyptiennes pour suivre les militants, les délégués du gouvernement et toute personne participant à la COP27″, a déclaré Marwa Fatafta, responsable des droits numériques pour le Moyen-Orient et l’Afrique du Nord pour Access Now, une organisation à but non lucratif. organisation des droits numériques.
« L’application est une cyber-arme », a déclaré un expert en sécurité après l’avoir examiné, qui s’est exprimé sous couvert d’anonymat pour protéger les collègues participant à la COP.
Le gouvernement égyptien n’a pas répondu aux demandes de commentaires. Google a déclaré qu’il avait examiné l’application et n’avait trouvé aucune violation de ses politiques d’application.
Le risque potentiel pour la sécurité survient alors que des milliers de hauts fonctionnaires descendent à Charm el-Cheikh, la station balnéaire égyptienne, où des soi-disant codes QR, ou quasi-codes à barres qui incitent les gens à télécharger l’application pour smartphone, sont disséminés dans la ville. .
Parmi les participants à la COP27 figurent des dirigeants mondiaux comme le président français Emmanuel Macron, le Premier ministre britannique Rishi Sunak et le secrétaire d’État américain Antony Blinken, bien qu’il soit peu probable que des politiciens aussi en vue téléchargent l’application d’un autre gouvernement.
Les experts qui ont parlé à POLITICO ont déclaré qu’une grande partie des données et de l’accès que l’application COP27 obtient est assez standard. Mais, selon trois de ces spécialistes, la combinaison du bilan du gouvernement égyptien en matière de droits de l’homme et des types de personnes qui téléchargeraient l’application représente une source d’inquiétude.
Accès étrange et étendu
Trois des chercheurs ont déclaré que l’application posait des risques de surveillance à ceux qui la téléchargent en raison de ses autorisations généralisées d’examiner les appareils des gens, bien que l’étendue du risque reste incertaine.
Elias Koivula, chercheur chez WithSecure, une entreprise de cybersécurité, a examiné l’application Android pour POLITICO et a déclaré qu’il n’avait trouvé aucune preuve que les e-mails des personnes avaient été lus. De nombreuses autorisations accordées à l’application de la conférence sur le changement climatique ont également des objectifs bénins, comme tenir les gens au courant des dernières informations sur les voyages autour du sommet, a-t-il ajouté.
Mais Koivula a déclaré que d’autres autorisations accordées à l’application semblaient « étranges » et pourraient potentiellement être utilisées pour suivre les mouvements et les communications des personnes. Jusqu’à présent, il a déclaré qu’il n’avait aucune preuve qu’une telle activité avait eu lieu.
Tous les experts ne sont pas d’accord sur les risques.
Paul Shunk, ingénieur du renseignement de sécurité à la société de cybersécurité Lookout, a déclaré qu’il n’avait trouvé aucune preuve que l’application avait accès aux e-mails, décrivant l’idée qu’elle posait un risque de surveillance comme « étrange ». Il était convaincu que l’application n’était pas conçue comme un logiciel espion typique, versant de l’eau froide sur les affirmations selon lesquelles l’application fonctionnait comme un appareil d’écoute. Shunk a déclaré qu’il ne pouvait pas enregistrer d’audio s’il fonctionnait en arrière-plan, ce qui le rend « presque totalement inadapté à l’espionnage des utilisateurs ».
L’application COP27 utilise le suivi de localisation « de manière intensive », a déclaré Shunk, mais apparemment à des fins légitimes telles que la planification d’itinéraire pour les participants au sommet. Il lui manquait la possibilité d’accéder à la localisation en arrière-plan, sur la base des autorisations Android, ce dont l’application aurait besoin pour un suivi continu de la localisation, a-t-il ajouté.
Les deux autres analystes de la cybersécurité qui ont examiné l’application ont parlé sous condition d’anonymat pour protéger leur travail de sécurité en cours et pour protéger leurs collègues participant à la conférence sur le changement climatique.
« Permettez-moi de le dire ainsi : je ne téléchargerais pas cette application sur mon téléphone », a déclaré l’un de ces experts. Ces deux chercheurs ont également averti qu’une fois l’application téléchargée sur un appareil, il serait difficile, voire impossible, de lui retirer la capacité d’accéder aux données sensibles des personnes, même après sa suppression.
POLITICO a vérifié les risques de sécurité potentiels de l’application via deux outils de cybersécurité ouverts, et tous deux ont exprimé des inquiétudes quant à sa capacité à écouter les conversations des gens, à suivre leur emplacement et à modifier le fonctionnement de l’application sans demander la permission.
Google et Apple ont tous deux approuvé l’apparition de l’application dans leurs magasins d’applications distincts. Tous les analystes n’ont examiné que la version Android de l’application, et non l’application distincte créée pour les appareils Apple. Apple a refusé de commenter l’application distincte créée pour son App Store.
Record de suivi de l’Égypte
Aux inquiétudes des groupes de défense des droits s’ajoute le bilan du gouvernement égyptien en matière de surveillance de son peuple. À la suite du soi-disant printemps arabe, le Caire a réprimé les dissidents et utilisé les règles d’urgence locales pour suivre les activités en ligne et hors ligne de ses citoyens, selon un rapport de Privacy International, une organisation à but non lucratif.
Dans le cadre de l’avis de confidentialité de l’application pour smartphone, le gouvernement égyptien déclare qu’il a le droit d’utiliser les informations fournies par ceux qui ont téléchargé l’application, y compris les emplacements GPS, l’accès à l’appareil photo, les photos et les détails Wi-Fi.
« Notre application se réserve le droit d’accéder aux comptes clients à des fins techniques et administratives et pour des raisons de sécurité », indique la déclaration de confidentialité.
Pourtant, l’examen technique, à la fois par POLITICO et les experts extérieurs de l’application pour smartphone COP27, a découvert d’autres autorisations que les gens avaient accordées, sans le savoir, au gouvernement égyptien qui n’ont pas été rendues publiques via ses déclarations publiques.
Celles-ci incluaient l’application ayant le droit de suivre ce que les participants ont fait sur d’autres applications sur leur téléphone ; connecter les smartphones des utilisateurs via Bluetooth à d’autres matériels de manière à ce que les données soient déchargées sur des appareils appartenant au gouvernement ; et relier indépendamment les téléphones des individus aux réseaux Wi-Fi, ou passer des appels en leur nom à leur insu.
« Le gouvernement égyptien ne peut pas se voir confier la gestion des données personnelles des personnes compte tenu de son bilan lamentable en matière de droits humains et de son mépris flagrant pour la vie privée », a déclaré Fatafta, la militante des droits numériques.
Cet article fait partie de POLITICO Pro
La solution à guichet unique pour les professionnels des politiques fusionnant la profondeur du journalisme POLITICO avec la puissance de la technologie
Des scoops et des idées exclusives et inédites
Plate-forme de renseignements sur les politiques personnalisée
Un réseau d’affaires publiques de haut niveau
