L’application mobile de la COP27, une cyber-arme
L'application serait un outil de surveillance qui pourrait être militarisé par les autorités égyptiennes pour suivre les militants, les délégués du gouvernement et toute personne participant à la COP27.
Il y a quelques semaines, nous avons mis en avant qu’Amnesty souhaiter convaincre les états de l’urgence de mettre en place un moratoire mondial sur la vente, le transfert et l’utilisation de technologies de surveillance jusqu’à ce qu’un véritable cadre réglementaire protégeant les droits humains conditionne leur utilisation. Nous assistons à une crise mondiale des logiciels espions : des militant·e·s, des journalistes et des avocat·e·s sont la cible d’une surveillance intrusive dans le but de les réduire au silence et de les intimider.
107 273 personnes de 180 pays et territoires ont signé une pétition d’Amnesty International demandant aux États membres de l’ONU d’appuyer un moratoire mondial sur les technologies de surveillance, jusqu’à ce que soit mis en place un cadre réglementaire adéquat qui protège les droits humains. Depuis, plusieurs articles ont couvert des intrusions dans des applications de masse pour des événements comme la Coupe du monde et la COP27. Les OS vont devoir prendre position et mettre en avant plus de contrôle dans la soumission d’applications pour des événements internationaux de grande ampleur !
COP27
Les conseillers occidentaux en matière de sécurité avertissent les délégués au sommet sur le climat de la COP27 de ne pas télécharger l’application officielle pour smartphone du gouvernement égyptien hôte, craignant qu’elle ne soit utilisée pour pirater leurs e-mails privés, leurs SMS et même leurs conversations vocales. Les décideurs politiques d’Allemagne, de France et du Canada figuraient parmi ceux qui avaient téléchargé l’application le 8 novembre, selon deux responsables de la sécurité occidentaux distincts, informés des discussions au sein de ces délégations lors du sommet de l’ONU sur le climat. La vulnérabilité potentielle de l’application Android, qui a été téléchargée des milliers de fois et fournit une passerelle pour les participants à la COP27, a été confirmée séparément par quatre experts en cybersécurité qui ont examiné l’application numérique pour Politico.
App
L’application est présentée comme un outil pour aider les participants à naviguer dans l’événement. Mais cela risque de donner au gouvernement égyptien la permission de lire les e-mails et les messages des utilisateurs. Même les messages partagés via des services cryptés comme WhatsApp sont vulnérables, selon l’examen technique de l’application par Politico et deux des experts externes. Elle fournit également au ministère égyptien des communications et des technologies de l’information, qui l’a créée, d’autres privilèges dits de porte dérobée, ou la possibilité de scanner les appareils des gens. Sur les smartphones exécutant le logiciel Android de Google, il a la permission d’écouter potentiellement les conversations des utilisateurs via l’application, même lorsque l’appareil est en mode veille.
Trois des chercheurs ont déclaré que l’application posait des risques de surveillance à ceux qui la téléchargent en raison de ses autorisations généralisées d’examiner les appareils des gens, bien que l’étendue du risque reste incertaine. Elias Koivula, chercheur chez WithSecure, une entreprise de cybersécurité, a examiné l’application Android pour Politico et a déclaré qu’il n’avait trouvé aucune preuve que les e-mails des personnes avaient été lus. De nombreuses autorisations accordées à l’application de la conférence sur le changement climatique ont également des objectifs bénins, comme tenir les gens au courant des dernières informations sur les voyages autour du sommet, a-t-il ajouté.
D’autres autorisations accordées à l’application semblaient « étranges » et pourraient potentiellement être utilisées pour suivre les mouvements et les communications des personnes. Jusqu’à présent, il a déclaré qu’il n’avait aucune preuve qu’une telle activité avait eu lieu. Google et Apple ont tous deux approuvé l’apparition de l’application dans leurs magasins d’applications distincts. Tous les analystes n’ont examiné que la version Android de l’application, et non l’application distincte créée pour les appareils Apple.