L’application égyptienne du sommet COP27 est une cyber-arme, avertissent les experts – POLITICO

Appuyez sur play pour écouter cet article

Les conseillers occidentaux en matière de sécurité ont averti les délégués au sommet sur le climat de la COP27 de ne pas télécharger l’application officielle pour smartphone du gouvernement égyptien, car ils craignaient qu’elle ne soit utilisée pour pirater leurs e-mails privés, leurs SMS et même leurs conversations vocales.

Des responsables politiques allemands, français et canadiens figuraient parmi ceux qui ont téléchargé l’application le 8 novembre, selon deux responsables de la sécurité occidentaux distincts informés des discussions de cette délégation lors du sommet de l’ONU sur le climat.

D’autres gouvernements occidentaux ont conseillé aux responsables de ne pas télécharger l’application, a déclaré un autre responsable d’un gouvernement européen. Tous les responsables ont parlé sous couvert d’anonymat pour discuter des considérations gouvernementales internationales.

Les vulnérabilités potentielles de l’application Android, qui a été téléchargée des milliers de fois et offre une passerelle pour les participants à police 27confirmé séparément par quatre experts en cybersécurité qui ont examiné les applications numériques pour POLITICO.

Cette application est promue comme un outil pour aider les participants à naviguer dans l’événement. Mais cela risque de donner au gouvernement égyptien la permission de lire les e-mails et les messages des utilisateurs. Même les messages partagés via des services cryptés comme WhatsApp sont vulnérables, selon un examen technique de l’application POLITICO et deux experts externes.

L’application fournit également au ministère égyptien des communications et des technologies de l’information, qui l’a créée, des privilèges dits de porte dérobée, ou la possibilité de scanner les appareils des gens.

Des dirigeants mondiaux, dont le président égyptien Abdel Fattah El-Sisi et le secrétaire général des Nations Unies Antonio Guterres posent pour une photo de groupe lors du Sommet sur la mise en œuvre du climat à Charm el-Cheikh de la conférence sur le climat COP27 en Égypte | Sean Gallup/Getty Images

Sur les smartphones exécutant le logiciel Android de Google, il a la permission d’écouter potentiellement les conversations des utilisateurs via des applications, même lorsque l’appareil est en mode veille, selon trois experts et une analyse POLITICO distincte. Selon deux analystes, il peut également suivre l’emplacement des personnes via la technologie GPS et Wi-Fi intégrée du téléphone.

L’application n’est rien d’autre qu' »un outil de surveillance que les autorités égyptiennes peuvent armer pour suivre les militants, les délégués du gouvernement et toute autre personne participant à la COP27″, a déclaré Marwa Fatafta, responsable des droits numériques pour le Moyen-Orient et l’Afrique du Nord pour Access Now, une organisation à but non lucratif. . organisation des droits numériques.

« L’application est une cyber-arme », a déclaré un expert en sécurité après l’avoir examiné, qui s’est exprimé sous couvert d’anonymat pour protéger les collègues participant à la COP.

Le gouvernement égyptien n’a pas répondu aux demandes de commentaires. Google a déclaré qu’il avait examiné l’application et n’avait trouvé aucune violation de ses politiques d’application.

Le risque potentiel pour la sécurité est survenu lorsque des milliers de hauts fonctionnaires sont descendus à Charm el-Cheikh, une station balnéaire égyptienne, où des soi-disant codes QR, ou quasi-codes à barres qui incitent les gens à télécharger des applications pour smartphone, étaient dispersés dans la ville. .

Parmi les participants à la COP27 figurent des dirigeants mondiaux tels que le président français Emmanuel Macron, le Premier ministre britannique Rishi Sunak et le secrétaire d’État américain Antony Blinken, bien qu’il soit peu probable que ces hommes politiques bien connus téléchargent d’autres applications gouvernementales.

Les experts qui ont parlé à POLITICO ont déclaré que la plupart des données et des accès obtenus par l’application COP27 sont assez standard. Cependant, selon ces trois experts, la combinaison des antécédents du gouvernement égyptien en matière de droits de l’homme et des types de personnes qui téléchargeront l’application est préoccupante.

Accès étrange et large

Trois des chercheurs ont déclaré que l’application pose un risque de surveillance pour ceux qui la téléchargent en raison de ses larges autorisations pour examiner les appareils des gens, bien que le niveau de risque reste incertain.

Elias Koivula, chercheur chez WithSecure, une entreprise de cybersécurité, a examiné l’application Android pour POLITICO et a déclaré qu’il n’avait trouvé aucune preuve que les e-mails des gens avaient été lus. De nombreux permis accordés aux applications de conférence sur le changement climatique servent également un bon objectif, comme tenir les gens au courant des dernières informations de voyage autour du sommet, a-t-il ajouté.

Mais Koivula a déclaré que les autres autorisations accordées à l’application semblaient « étranges » et pourraient potentiellement être utilisées pour suivre les mouvements et les communications des personnes. Jusqu’à présent, il a déclaré qu’il n’avait aucune preuve qu’une telle activité avait eu lieu.

Tous les experts ne sont pas d’accord sur les risques.

Paul Shunk, ingénieur du renseignement de sécurité à la société de cybersécurité Lookout, a déclaré qu’il n’avait trouvé aucune preuve que l’application avait accès aux e-mails, décrivant l’idée qu’elle pose un risque de surveillance comme « étrange ». Il pense que l’application n’a pas été créée comme un logiciel espion ordinaire, versant de l’eau froide sur les affirmations selon lesquelles l’application fonctionne comme un appareil d’écoute. Shunk dit qu’il ne peut pas enregistrer d’audio s’il s’exécute en arrière-plan, ce qui le rend « presque totalement inadapté à l’espionnage des utilisateurs ».

L’application COP27 utilise le suivi de localisation « de manière intensive », a déclaré Shunk, mais semble être à des fins légitimes telles que la planification d’itinéraire pour les participants au sommet. Il n’a pas la possibilité d’accéder à la localisation en arrière-plan, sur la base des autorisations Android, dont l’application aurait besoin pour un suivi continu de la localisation, a-t-il ajouté.

Deux autres analystes de la cybersécurité qui ont examiné l’application se sont exprimés sous couvert d’anonymat pour protéger leur travail de sécurité en cours et pour protéger leurs collègues participant à la conférence sur le changement climatique.

« Permettez-moi de le dire ainsi : je ne vais pas télécharger cette application sur mon téléphone », a déclaré l’un des experts. Les deux chercheurs ont également averti qu’une fois l’application téléchargée sur un appareil, il peut être difficile, voire impossible, de perdre sa capacité à accéder aux données sensibles des personnes, même après qu’elle a été supprimée.

POLITICO a examiné les risques de sécurité potentiels de l’application via deux outils de cybersécurité ouverts, et tous deux ont soulevé des inquiétudes quant à sa capacité à écouter les conversations des gens, à suivre leur emplacement et à modifier le fonctionnement des applications sans demander la permission.

Google et Apple s’entendent pour que les applications apparaissent dans leurs magasins d’applications distincts. Tous les analystes n’examinent que les versions des applications Android, et non les applications distinctes conçues pour les appareils Apple. Apple a refusé de commenter les applications distinctes créées pour son App Store.

Le palmarès de l’Égypte

Aux inquiétudes des groupes de défense des droits de l’homme s’ajoute le bilan du gouvernement égyptien en matière de surveillance de son peuple. Après le soi-disant printemps arabe, le Caire a réprimé les dissidents et utilisé les règles d’urgence locales pour suivre les activités de ses citoyens en ligne et hors ligne, selon un rapport. rapport par Privacy International, une organisation à but non lucratif.

Dans le cadre de l’avis de confidentialité de l’application pour smartphone, le gouvernement égyptien déclare qu’il a le droit d’utiliser les informations fournies par ceux qui ont téléchargé l’application, y compris la localisation GPS, l’accès à l’appareil photo, les photos et les détails Wi-Fi.

« Notre application se réserve le droit d’accéder aux comptes clients à des fins techniques et administratives et pour des raisons de sécurité », indique la déclaration de confidentialité.

Mais des examens techniques, à la fois par POLITICO et des experts extérieurs de l’application pour smartphone COP27, ont révélé d’autres autorisations que les gens avaient involontairement accordées au gouvernement égyptien et qui n’ont pas été rendues publiques par le biais de ses déclarations publiques.

Cela inclut les applications qui ont le droit de suivre ce que font les participants sur d’autres applications sur leur téléphone ; connecter le smartphone de l’utilisateur via Bluetooth à d’autres appareils matériels d’une manière qui peut entraîner le transfert de données vers un appareil appartenant au gouvernement ; et relier indépendamment des téléphones individuels aux réseaux Wi-Fi, ou passer des appels en leur nom à leur insu.

« On ne peut pas faire confiance au gouvernement égyptien pour gérer les données personnelles des gens étant donné son piètre bilan en matière de droits de l’homme et son mépris flagrant pour la vie privée », a déclaré Fatafta, une militante des droits numériques.

Cet article fait partie de PRO POLITIQUE

Une solution unique pour les professionnels des politiques qui combine la profondeur du journalisme POLITICO avec la puissance de la technologie


Exclusif, casser la cuillère et perspicacité


Plate-forme de renseignements sur les politiques personnalisée


Réseau d’affaires publiques de haut niveau

Lancelot Bonnay

"Érudit primé au bacon. Organisateur. Fanatique dévoué des médias sociaux. Passionné de café hardcore."

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *