L’arnaque de l’application ToTok : Que s’est-il passé et comment éviter que cela vous arrive ?

Photo of author
Écrit par Agnès Michaud

Une passion pour la technologie alliée à une soif viscérale de la rendre utile aux relations humaines.

Ceux d’entre vous qui s’intéressent à la cybersécurité et qui suivent nos articles ne sont que trop conscients du scandale qui entoure l’application de chat des Émirats arabes unis, ToTok.

Dans un article accablant publié fin 2019, le New York Times a déclaré que, plutôt que d’être un innocent service de chat et de messagerie, ToTok était un outil d’espionnage :

« Utilisé par le gouvernement des Émirats arabes unis pour essayer de suivre chaque conversation, mouvement, relation, rendez-vous, son et image de ceux qui l’installent sur leurs téléphones »

Comme de nombreuses applications de réseaux sociaux, les utilisateurs peuvent choisir de donner à ToTok l’accès à :

  • leur microphone
  • leur calendrier
  • leur localisation
  • leur caméra
  • leur Wi-Fi

Mais ce qu’il advient de ces informations une fois qu’elles ont été collectées, c’est ce qui alimente le feu de l’enquête du New York Times.


Avant ToTok : La disparition de WhatsApp

Les lois restrictives sur la protection de la vie privée

L’approche très stricte de la censure fait que les résidents des Émirats arabes unis ne peuvent pas toujours avoir accès aux applications que les Européens et les Américains utilisent quotidiennement.

Les applications de chat les plus populaires, telles que Skype, WhatsApp et FaceTime, ont toutes été interdites dans certaines régions des Émirats arabes unis, les autorités invoquant des problèmes de licence pour justifier le blocage de ces services.

L'application ToTok installée sur un Android
L’application ToTok installée sur un Android

La liberté d’expression et l’argent sont deux autres facteurs déterminants.

De nombreux gouvernements du Moyen-Orient ont un intérêt financier direct à ce que les services d’appels vocaux et vidéo libres restent bloqués.

Les préoccupations en matière de sécurité nationale

La sécurité nationale est une autre raison invoquée par les gouvernements pour justifier le blocage des applications de réseaux sociaux, au motif que les applications de messagerie populaires utilisant le chiffrement de bout en bout pourraient mettre en péril la sécurité nationale.

Il suffit de voir les responsables américains et leur combat actuel contre l’introduction du chiffrement sur Facebook Messenger pour savoir à quel point ce sujet est sensible.

Fondamentalement, les Émirats arabes unis interdisent WhatsApp et d’autres services de messagerie chiffrée pour les mêmes raisons que le procureur général des États-Unis William Barr a demandé « que Facebook ne poursuive pas son projet de mise en œuvre du chiffrement de bout en bout… sans inclure un moyen d’accès légal au contenu des communications pour protéger nos citoyens ».

De nombreux citoyens des Émirats arabes unis ont simplement changé leur façon d’utiliser les réseaux sociaux et les applications de messagerie pour contourner ces blocages

Beaucoup utilisaient des VPN qui leur permettaient de contourner les blocages de certains contenus et de télécharger des applications interdites. Depuis, cependant, les Émirats arabes unis ont également interdit les VPN, bien que la formulation de l’interdiction signifie qu’il existe une faille importante pour ceux qui veulent l’exploiter.

Ces restrictions gouvernementales entraînent la demande d’un service de chat alternatif, et c’est là que ToTok entre en scène.


L’essor de ToTok

Lancé en 2019, ToTok a offert des services de messagerie et de chat gratuits aux résidents des Émirats arabes unis et est devenu « la seule application VoIP vidéo gratuite approuvée par le gouvernement disponible dans les Émirats arabes unis ».

ToTok a fait les gros titres pour la première fois en août 2019, lorsqu’Al-Ittihad a publié un article vantant la capacité de ToTok à produire « une grande pureté et des appels vidéo en haute définition » en utilisant « des technologies d’intelligence artificielle (IA) pour améliorer la qualité des appels ».

Totok bloqué par Google Play
Totok bloqué par Google Play

Bien que ToTok ait initialement ciblé les habitants des Émirats arabes unis, il est rapidement devenu populaire dans d’autres pays également. Les statistiques indiquent que, entre l’App Store iOS et Google Play, l’application a été téléchargée 8 millions de fois au cours de sa brève existence.

Même lors de sa sortie initiale, certains se méfiaient de l’application

Un client des Émirats arabes unis a déclaré à cette occasion :

« C’est suspect… qu’une nouvelle application apparaisse, qu’elle soit gratuite et qu’elle fonctionne alors que toutes les autres sont bloquées ».

Ces inquiétudes n’ont pas empêché les gens de prendre le train en marche de ToTok, et certainement pas de donner à ToTok la permission d’accéder à une foule d’informations dont elle n’avait pas nécessairement besoin pour fonctionner efficacement.

Pire encore, ToTok télécharge :

  • l’ensemble de votre carnet d’adresses
  • les photos que vous envoyez
  • les lieux où vous vous trouvez
  • les conversations que vous avez sur un serveur

Un serveur sécurisé ? Oui. Un serveur confidentiel ? Peut-être pas.

Le certificat de chiffrement des communications de ToTok est détenu aux Émirats arabes unis, ce qui en fait la politique de surveillance parfaite pour un gouvernement totalitaire.

Les Émirats arabes unis ont mis en place un moyen astucieux, étape par étape, pour obtenir un accès complet aux communications privées de leurs citoyens.

  1. Ils ont d’abord interdit les applications de chat les plus populaires
  2. puis les VPN afin que les utilisateurs ne puissent pas contourner l’interdiction des applications de chat
  3. Ils ont ensuite créé un service de messagerie gratuit encouragé à tout le monde comme méthode de surveillance de masse

Les dangers de ToTok

Selon le NY Times, toutes les informations recueillies par l’application ToTok sont partagées avec des représentants du gouvernement des Émirats arabes unis, ce qui porte atteinte au droit à la vie privée des utilisateurs.

Et ce, malgré les affirmations selon lesquelles les données des utilisateurs seront protégées par chiffrement.

La formulation des revendications de ToTok en matière de protection de la vie privée est cependant presque identique à celle de la politique de confidentialité de Telegram.

  • Alors que la politique de ToTok indique que « toutes les données sont stockées de manière fortement chiffrée afin que les ingénieurs locaux de ToTok ou les intrus physiques ne puissent pas y accéder »
  • Celle de Telegram indique que « toutes les données sont stockées de manière fortement chiffrée et les clés de chiffrement sont dans chaque cas stockées dans plusieurs autres centres de données dans différentes juridictions. Ainsi, les ingénieurs locaux ou les intrus physiques ne peuvent pas avoir accès aux données des utilisateurs ».

Malgré ces affirmations rassurantes, la politique de confidentialité de ToTok indique également que :

« La transmission d’informations via internet n’est pas complètement sécurisée. Bien que nous fassions de notre mieux pour protéger vos données personnelles, nous ne pouvons pas garantir la sécurité de vos données transmises sur notre site ».

ToTok se réserve le droit de partager les données des utilisateurs « avec votre consentement » mais aussi « avec d’autres utilisateurs qui utilisent l’application »

Le fait que les utilisateurs doivent donner leur consentement avant que leurs informations ne soient partagées avec d’autres utilisateurs n’est pas clair, ambigu et plutôt inquiétant.

De plus, même les données anonymes ne sont pas toujours aussi privées que nous aimerions le croire, et il est possible que les autorités gouvernementales puissent rapidement :

  • réidentifier les données anonymes
  • les relier à un utilisateur individuel
  • suivre l’emplacement actuel de cet utilisateur et ses activités en ligne précédentes

S’il s’agit là de dangers indéniables liés à l’utilisation de ToTok, ils n’étaient pas au centre du rapport accablant du NY Times, qui s’est plutôt concentré sur l’utilisation de ToTok comme outil d’espionnage pour le gouvernement des Émirats arabes unis.

Interface de ToTok
Interface de ToTok

Le NY Times affirme qu' »un spécialiste de la sécurité numérique au Moyen-Orient a déclaré que de hauts responsables émiratis lui avaient dit que ToTok était en effet une application développée pour suivre ses utilisateurs dans les Émirats et au-delà ».

Ce qui est astucieux avec ToTok, c’est qu’il exécute ses procédés sournois tout en fonctionnant exactement comme il a été conçu

Quand vous commencez à analyser une application comme celle-ci, vous vous attendez à trouver une porte dérobée ou des exploits de type « zero-day »… Mais il s’agit en fait d’une approche plus élégante, qui consiste simplement à exploiter une fonctionnalité tout à fait légitime.

En fait, il n’y a absolument rien de mal à ToTok : il s’agit simplement d’une application de messagerie qui utilise les mêmes données privées que n’importe quelle autre plateforme de réseaux sociaux ou application de communication.

Cependant, le problème est de savoir où vont les données et qui y a accès.

DarkMatter derrière ToTok

L’un des aspects les plus inquiétants de ToTok est qu’il semble être lié à une organisation connue sous le nom de DarkMatter.

Cette société de cyberespionnage et de piratage informatique est basée à Abu Dhabi et emploierait :

  • des agents de renseignement émiratis
  • d’anciens employés de la National Security Agency
  • et d’anciens agents du renseignement militaire israélien

DarkMatter fait actuellement l’objet d’une enquête du FBI pour des soupçons de cybercriminalité, selon laquelle des cyber mercenaires travaillant pour DarkMatter ont transformé un babyphone en dispositif d’espionnage.

Bien que la société officiellement à l’origine de l’application ToTok s’appelle Breej Holding, le NY Times estime qu’il s’agit très probablement d’une société écran.

Outre ses liens douteux avec DarkMatter, les investigations ont également révélé un lien avec Pax AI, une société spécialisée dans les technologies d’intelligence artificielle que le NY Times qualifie de « société d’exploration de données qui semble liée à DarkMatter« .

 Mise en garde

Il existe des applications-espionnes qu’un de vos proches peut installer de manière invisible dans votre téléphone.

Elles rappatrient ensuite vos mots de passe mais aussi vos discussions sur les réseaux sociaux et vos SMS/MMS.


ToTok : Les retombées

Il n’a pas fallu longtemps pour que Google Play et l’Apple Store réagissent aux avertissements concernant ToTok et retirent tous deux l’application quelques jours après la publication de l’article du NY Times.

Totok : autorisations d'accès
Totok : autorisations d’accès

Dans le même temps, les développeurs de ToTok ont tenté de balayer les accusations de surveillance sous le tapis, en déclarant que l’application était « temporairement indisponible… en raison d’un problème technique ».

Google Play a retiré l’application le 19 décembre et la boutique Apple a fait de même le lendemain

Alors qu’un porte-parole d’Apple a déclaré que l’entreprise allait enquêter sur la situation, Google Play a publié une déclaration indiquant qu’il prenait au sérieux les rapports de violations de la sécurité et de la vie privée.

« Si nous constatons un comportement qui enfreint nos règles, nous prenons des mesures ».

ToTok ressuscité

Bien qu’ils aient été attaqués de toutes parts, les développeurs de ToTok restent impénitents et nient avec véhémence les accusations.

Le cofondateur Giacomo Ziani a nié le fait que l’application ToTok ait recueilli des informations sur les conversations des utilisateurs, insistant sur le fait qu’elle était conforme aux législations émiraties qui « interdisent tout type de violation des données et d’interception illégale ».

M. Ziani a ajouté : « Nous ne sommes liés à aucun gouvernement, ni aux Émirats arabes unis, ni aux États-Unis, ni à la Chine ».

Il a également rappelé à Google Play et à l’Apple Store que « chaque version de l’application ToTok est passée par votre processus de critique rigoureux », faisant valoir que l’application devrait être rétablie.

M. Ziani s’est plaint que ToTok avait été retiré des magasins d’applications sans aucun préavis et qu’il causait un grave préjudice à son entreprise.

Alors qu’un chercheur en informatique de l’université de Californie, Bill Marczak, insiste toujours sur le fait qu’ « en utilisant cette application, vous permettez que votre vie soit ouverte aux caprices de la sécurité nationale telle qu’elle est perçue par le gouvernement des Émirats arabes unis », Google Play a cédé et réintégré ToTok dans sa boutique en ligne.

Depuis début janvier 2021, ToTok est réapparu sur le site de Google Play

Google a refusé de commenter les raisons pour lesquelles il a décidé de le réintégrer. Néanmoins, le fait qu’elle ait été retirée puis réintroduite suggère qu’elle a fait l’objet d’un examen visant à détecter d’éventuelles violations du service et qu’elle est sortie de ces investigations avec une ardoise propre.

  • Si Apple ne rétablit pas ToTok, que ferait-elle si la Chine affirmait que WhatsApp était un outil d’espionnage ?
  • Si Apple rétablit ToTok, cela donne le feu vert à toute application de surveillance gouvernementale, tant que l’application ne viole pas les politiques de l’App Store

Comment éviter la surveillance gouvernementale dans les Émirats arabes unis

La première étape est évidente : si vous avez téléchargé ToTok, supprimez-le immédiatement et utilisez une application de messagerie plus réputée et moins controversée qui utilise le chiffrement de bout en bout et protège ainsi vos données en transit et en stockage.

Un VPN peut également ajouter une autre couche de chiffrement qui peut empêcher quiconque, y compris les développeurs de l’application et les tiers avec lesquels ils peuvent partager des données :

  • de voir votre adresse IP d’origine
  • votre emplacement
  • et à peu près tout autre type de données que vous choisissez de garder secrètes

ToTok ne fonctionnera pas aussi efficacement s’il ne peut pas avoir accès à des informations comme votre localisation, qu’il utilise pour envoyer des prévisions météorologiques précises, mais cela signifie au moins que vous pouvez potentiellement utiliser l’application sans partager les détails de votre vie personnelle avec les fonctionnaires des Émirats arabes unis.

L’utilisation d’un VPN dans les EAU est un peu plus difficile car le gouvernement a officiellement interdit les VPN il y a quelques années

Heureusement, il existe une sorte d’échappatoire qui signifie que vous pourriez être du bon côté de la loi même si vous décidez d’utiliser le meilleur VPN pour vous protéger de la surveillance de ToTok.

S’il est illégal d’utiliser un VPN pour cacher une activité en ligne illégale, il n’est pas illégal d’utiliser un VPN.

Néanmoins, c’est un peu une zone grise et les utilisateurs de VPN à Dubaï devraient pécher par excès de prudence en s’assurant qu’ils choisissent un VPN sans enregistrement pour les garder en sécurité et anonymes lorsqu’ils utilisent :

MSpy espionne les réseaux sociaux et les conversations sur un téléphone

Le logiciel espion

mSpy bannière promotionnelle

0 réflexion au sujet de « L’arnaque de l’application ToTok : Que s’est-il passé et comment éviter que cela vous arrive ? »

Laisser un commentaire