WTF ? ! Si vous espériez assister à la Coupe du monde au Qatar le mois prochain, vous repensez peut-être à vos plans une fois que vous aurez découvert ce que le pays exigera de vous. Pour entrer dans le pays, les voyageurs doivent télécharger deux applications. Les deux fonctionnent de la même manière que les logiciels espions et accordent aux autorités du Qatar des autorisations que les experts en sécurité jugent discutables.
Le Qatar est un petit pays situé sur la péninsule arabique en Asie occidentale. Il sert d’hôte pour cette année Coupe du monde Fifaprévue du 20 novembre au 18 décembre. Plus particulièrement, c’est la première fois que la Coupe du monde est organisée par une nation arabe et seulement la deuxième qui se déroule entièrement en Asie.
Des milliers de fans de football devraient descendre dans la région au cours des deux prochains mois pour assister à une action en direct de la Coupe du monde. Cependant, le pays a soulevé de sérieuses inquiétudes auprès des chercheurs en cybersécurité en «exigeant” les visiteurs à télécharger des applications qui donnent aux fonctionnaires des droits absolus sur les données de leurs téléphones.
Øyvind Vasaasen, responsable de la sécurité chez NRK, dit que c’est une rupture pour lui.
“Ce n’est pas mon travail de donner des conseils de voyage, mais personnellement, je n’apporterais jamais mon téléphone portable lors d’une visite au Qatar”, a déclaré Vasaasen.
Les applications en question s’appellent “Ehteraz” et “Hayya”. Vasaasen et d’autres chercheurs, dont Bruce Schneier, l’ont assimilé à un logiciel espion.
Ehteraz est une application de suivi covid-19 disponible pour iOS et Android. Le logiciel est troublant car il demande des autorisations bien au-delà de la norme. Sans surprise, il veut suivre l’emplacement précis des utilisateurs via Wi-Fi et Bluetooth, ce qui semble quelque peu raisonnable. Après tout, il s’agit d’une application de suivi de covid.
Cependant, après avoir effectué un examen approfondi du logiciel, Vasaasen a découvert qu’Ehteraz voulait bien plus que des capacités de suivi. L’application peut également “lire, supprimer ou modifier tout le contenu” sur le téléphone de l’utilisateur. Il peut remplacer tout autre logiciel installé et empêcher le téléphone de passer en mode veille. Les autorisations supplémentaires incluent la possibilité de passer des appels sortants et la désactivation de l’écran de verrouillage de l’appareil.
Hayya est également disponible sur Apple Magasin d’applications et jeu de Google. À première vue, semble être une application beaucoup plus bénigne principalement utilisée pour suivre les matchs et accéder au système de métro gratuit du Qatar. Cependant, demander aux visiteurs d’installer ce qui semble être un logiciel mobile utile a soulevé des signaux d’alarme.
Après inspection, Vasaasen a découvert que Hayya avait également des conditions surprenantes. D’une part, il a la permission de partager des informations à partir du téléphone sans pratiquement aucune restriction. Il suit également l’emplacement de l’utilisateur, peut empêcher l’appareil d’entrer en mode veille et peut afficher les connexions réseau de l’utilisateur.
Vasaasen dit qu’entre les deux applications, le gouvernement du Qatar a un contrôle total sur les données stockées sur un appareil, y compris la possibilité de modifier ou de supprimer des informations.
“Lorsque vous téléchargez ces deux applications, vous acceptez les conditions énoncées dans le contrat, et ces conditions sont très généreuses. Vous remettez essentiellement toutes les informations de votre téléphone”, a déclaré Vasaasen. “Vous donnez aux personnes qui contrôlent les applications la possibilité de lire et de modifier les choses, et de les modifier. Ils ont également la possibilité de récupérer des informations à partir d’autres applications s’ils en ont la capacité, et nous pensons qu’ils le font.”
Les applications sont principalement contrôlées par l’Institut de la santé publique — qui fait partie du ministère de l’Intérieur, qui s’intéresse véritablement à la prévention de la propagation du covid dans le pays. Cependant, les autorisations qu’il demande vont bien au-delà de ce qui est nécessaire pour le faire. Vasaasen dit qu’en acceptant les conditions, les utilisateurs donnent aux autorités “l’opportunité” d’abuser des droits qui leur sont accordés. C’est comme leur remettre les clés de votre maison.
“Vous dites qu’il n’y a rien de mal à ce que les autorités entrent chez vous”, explique le responsable de la sécurité. “Ils obtiennent une clé et ils peuvent entrer. Vous ne savez pas ce qu’ils font là-bas. Ils disent qu’ils ne profiteront peut-être pas de l’occasion, mais vous leur donnez l’opportunité. Et vous ne feriez jamais ça .”
Alors que Bruce Schneier trouve les applications troublantes et les autorisations ridicules, il dit qu’il n’est pas clair comment le Qatar peut imposer la règle et obliger des milliers de visiteurs à télécharger le logiciel espion.
“Je ne sais pas à quel point c’est obligatoire”, a commenté Schneier sur son blog. “Je connais des gens qui ont visité l’Arabie saoudite alors que ce pays avait une exigence d’application tout aussi sommaire. Certains d’entre eux n’ont tout simplement pas pris la peine de télécharger les applications et n’ont jamais été interrogés à ce sujet à la frontière.”