ToTok, TikTok, FaceApp… Comment être sûr de ne pas télécharger une application espion ?

MARCHE Les soupçons d’espionnage qui ont récemment pesé sur la messagerie ToTok, conçue aux Emirats arabe Unis, s’ajoutent à ceux qui ont plané cette année sur les applications chinoise Tiktok et russe FaceApp

Marie De Fournas
— 
De plus en plus d'application mobile sur le marché sont soupçonnées de servir aux services d'espionnage de certains pays.
De plus en plus d'application mobile sur le marché sont soupçonnées de servir aux services d'espionnage de certains pays. — Montage 20 Minutes avec Pixabay /mohamed_hassan
  • Les applications ToTok, TikTok et FaceApp ont été soupçonnées ces trois derniers mois d’être respectivement utilisées par les services d’espionnage des Emirats arabes Unis, de la Chine et de la Russie.
  • Détecter une application espion reste très difficile pour les autorités et encore plus pour les utilisateurs.
  • C’est pourtant la vigilance des propriétaires de smartphones qui prime en matière de cybersécurité.

Un proverbe (trouvé sur Internet) dit qu’il ne faut faire confiance à personne, pas même aux doigts de sa propre main. Encore moins lorsqu’ils téléchargent une application mobile. Lundi dernier, Google et Apple ont supprimé de leur store l’application ToTok. Développée par une société des Emirats arabes unis, la messagerie est soupçonnée d’espionner ses utilisateurs. Une information démentie vendredi par l’Autorité de régulation des télécommunications des Emirats.

Plus tôt dans le mois, le FBI s’est inquiété que FaceApp, l’application permettant notamment de vieillir son visage, représente une menace potentielle de contre-espionnage russe. Enfin, en octobre, plusieurs sénateurs américains ont demandé l’ouverture d’une enquête afin de vérifier que TikTok, l’application chinoise favorite des adolescents du monde entier, ne soit pas utilisée comme  instrument de surveillance pour Pékin. En un trimestre, ce sont donc trois applications, dont deux largement virales, qui ont été soupçonnées de servir les services d’espionnage de certains pays. De quoi donner envie de retourner au bon vieux 3310. Car à l’aube de 2020, comment être sûr à 100 % des applications que l’on télécharge sur nos mobiles ?

« Certains pays ont l’espionnage industriel dans leur ADN »

« On ne peut pas », tranche David Boucher, responsable du pôle d’expertise cybersécurité chez Adista . Bon, ça, c’est dit. « Une application, ce sont des milliers de lignes de code. Donc c’est difficile de savoir s’il n’y a pas quelque chose qui se cache dedans. D’ailleurs les attaquants l’ont bien compris. Et c’est encore pire si derrière, vous avez une grande puissance, car elle a plus de moyens. Ce n’est pas un pirate qui fait ça dans le fond de son jardin. »

L’expert rappelle également que « certains pays ont l’espionnage industriel dans leur ADN ». Les temps changent. Les techniques aussi. Le fait qu’une puissance ait envie de placer un logiciel espion dans une application sur le marché ne peut pas être écarté d’un revers de la main. A notre échelle peut-on s’en protéger ?

Stop au clic frénétique

« Il y a encore du boulot du côté de l’intelligence artificielle pour améliorer la sécurité. Ce que l’on a, c’est l’intelligence humaine », souligne David Boucher. C’est donc aux utilisateurs les premiers, de faire preuve de vigilance. Cela passe par ne pas cliquer sans lire, ni réfléchir (on vous voit, les gens pressés qui disent « ok » à tout pour faire tout de suite joujou). L’expert rappelle qu’il est bien plus facile pour un pirate de tromper un humain que de contourner des lignes de défense d’une application. « Les utilisateurs doivent se rappeler qu’ils sont les cibles privilégiées des attaquants. »

« Il faut veiller à ne concéder ses droits que lorsque c’est nécessaire. C’est le principe du moindre privilège : les applications doivent avoir seulement accès à ce dont elles ont besoin pour fonctionner », estime David Boucher.

Une messagerie n’a pas besoin de connaître votre géolocalisation

Le New York Times a publié une enquête accusant les services de renseignement émiratis d’avoir accès aux messages et conversation vidéo échangés sur ToTok, mais aussi aux données de géolocalisation, à la liste de contacts, aux caméra, micro et calendrier du téléphone. L’application demandait par exemple aux utilisateurs d’avoir accès à leurs données de géolocalisation sous prétexte de pouvoir leur donner des prévisions météorologiques précises. On est assez loin des indispensables pour une application de messagerie…

Selon le journal, l’application développée par « Breej Holding », serait en réalité une société de façade de DarkMatter, une firme de cyber-renseignement et de piratage liée au gouvernement émirati.

Quand la mode passe avant la sécurité

On pourrait également se dire qu’en limitant le nombre d’applications de messagerie sur son portable, on réduit également la part de risque. « D’un autre côté, en avoir plusieurs permet de les utiliser pour différents usages, selon si on veut plus ou moins sécuriser ses conversations. » L’expert reconnaît cependant que même si les gens commencent à avoir de plus en plus de bons réflexes, notamment les jeunes, « on est encore loin du compte ».

A cela, il faut ajouter les phénomènes de mode sur les applications qui prennent bien souvent le pas sur les règles de sécurité.