Situation :
L’application ToTok qui, depuis sa sortie en juillet 2019, a été téléchargée plus de 600’000 fois sur iOS et Android serait un outil pour le renseignement des Émirats arabes unis. Cette application est très similaire à WhatsApp dans ses fonctionnalités, mais contrairement à ce dernier (et à la majorité des autres applications) elle n’est pas bloquée dans les Émirats.

Analyse :
L’application utilise un certain nombre de privilèges afin de fonctionner (de façon légitime), tel que l’accès aux contacts, la géolocalisation, le microphone, le calendrier, la caméra, etc., mais il semble que les informations chargées par l’application sont aussi utilisées pour faire du renseignement.

L’application semble être excellente. Elle est basée sur l’App YeeCall (chinois) qui offre les mêmes fonctionnalités ; elle a reçu un grand nombre d’excellentes revues (probablement certaines sont fausses) par les utilisateurs.

Peu de temps avant la sortie de ce scandale, Android et Apple ont retiré l’application de leur Store, mais cela ne la désinstalle pas pour autant des smartphones de ses utilisateurs.

La grande difficulté est de déterminer si les données récoltées sont utilisées pour du renseignement ou simplement pour faire fonctionner l’application. Bien qu’il soit indiqué que les données sont cryptées (all data is stored heavily encrypted), ils ne parlent que du stockage de celles-ci et pas de son transite, ni utilisation.

Avis personnel :
Les preuves mises en avant semblent pour l’instant plutôt circonstancielles, mais connaissant les Émirats et les risques liés à une telle application, je recommande clairement à tout le monde de le désinstaller!

La stratégie est honnêtement assez brillante : interdire les applications de communication comme Whatsapp skype, etc. Ensuite, créer une alternative non-bannie avec les mêmes fonctionnalités. Puis finalement, créer un buzz autour (pub, fausse revue, etc.). Les gens téléchargeront l’application de leur plein gré et autoriseront l’application d’accéder à toutes leurs données personnelles. Mais le vrai tour de magie est dans le « déni plausible » (plausible deniability) où chaque information téléchargée sur les serveurs de ToTok à une raison légitime. Mais, avec ces informations récoltées, les renseignements peuvent savoir, qui vous êtes, ce que vous faites, où vous êtes, votre opinion et votre entourage. Basé sur ces informations, le service de renseignement peut rapidement définir si vous êtes une personne d’intérêt sur lequel il faut porter plus d’attention et installer un malware (comme les outils du NSO Group, qui sont très chers à l’achat).

Il y a un autre pays qui a décidé de bannir la majorité des applications de chat afin d’en imposer un alternatif : la Chine avec WeChat. On pourrait donc se demander si la même stratégie est appliquée par ce pays.

Finalement, cela se lie très bien au dernier scandale qu’a dévoilé le NYT avec l’abus par des entreprises privées des informations de géolocalisations.

Nous sommes tellement dépendants de nos smartphones et nous aimons tellement le confort offert par nos applications que nous sommes prêts à aveuglément accepter le mal qu’ils peuvent nous faire. (Je pense que c’est la même définition qu’une addiction à des narcotiques…)

Steven Meyer
Partner & CEO
Ing. EPFL, CISSP

ZENData Sarl