Menu

Un ingénieur logiciel de Bangalore a piraté l’application de suivi des contacts Aarogya Setu en Inde.

14 mai 2020 - Actualités
Un ingénieur logiciel de Bangalore a piraté l’application de suivi des contacts Aarogya Setu en Inde.


Adnan Abidi / Reuters

Un homme portant un écran facial s’accroupit à côté de ses affaires alors qu’il attend entre autres à l’extérieur d’une gare de monter à bord des trains qui les emmèneront dans leurs États d’origine après que l’Inde a annoncé une réouverture limitée des voies ferrées de son réseau ferroviaire après près de sept semaines confinement.

Pendant des jours, Jay, ingénieur logiciel à Bangalore, a observé avec une alarme croissante que les gens en Inde étaient obligés d’installer l’application de suivi des contacts du coronavirus du gouvernement. Puis, il a retroussé ses manches et déchiré ses tripes.

« Je n’aimais pas le fait que l’installation de cette application devienne lentement obligatoire en Inde », a déclaré Jay, qui a demandé un pseudonyme pour s’exprimer librement. «J’ai donc continué à penser à ce que je pouvais faire personnellement pour éviter de le mettre sur mon téléphone.»

Jay a commencé à travailler à 9 heures du matin un samedi. Il a coupé le code de l’application pour contourner la page d’inscription qui obligeait les gens à s’inscrire avec leurs numéros de téléphone portable. Plus d’élagage lui a permis de contourner une page qui demandait des informations personnelles comme le nom, l’âge, le sexe, les antécédents de voyage et les symptômes de COVID-19. Ensuite, il a supprimé les autorisations qu’il considérait comme invasives: celles nécessitant un accès au Bluetooth et au GPS du téléphone à tout moment

À 13 heures, l’application était devenue une coque inoffensive, ne collectant aucune donnée mais clignotant toujours un badge vert déclarant que l’utilisateur était à faible risque d’infection.

«C’était mon objectif», a déclaré Jay. « J’ai réussi. Vous pouvez montrer le badge vert à n’importe qui s’il demande à vérifier votre téléphone et qu’il ne le pourra pas. « 

Le gouvernement indien a libéré Aarogya Setu (en hindi pour «un pont vers la santé») début avril. Selon le ministère indien des TI, il a été installé près de 100 millions de fois – sur environ un cinquième des smartphones indiens. Mais l’application a préoccupations exprimées des experts de la vie privée du monde entier, qui disent qu’en l’absence d’une loi fédérale sur la vie privée, il peut être utilisé comme un outil de surveillance de l’État après la fin de la pandémie, car il nécessite un accès constant au Bluetooth et aux données de localisation des personnes.

Même si l’installation de l’application était initialement volontaire, de nombreux Indiens ont constaté qu’ils n’avaient pas le choix. Le mois dernier, les principales applications de livraison de nourriture en Inde ont exigé que les employés des concerts installent l’application. La semaine dernière, la police de Noida, une ville à la périphérie de New Delhi, la capitale de l’Inde, a ordonné aux résidents d’installer l’application ou de s’exposer à des peines de prison. Ce mandat a suivi les mandats fédéraux qui exigeaient que des employés du gouvernement et du privé installent l’application. Les Indiens peuvent également avoir besoin de l’application pour embarquer les trains, vols, et transport public, travailler pour entreprises de livraison de nourritureou visitez les pharmacies.

Des pirates informatiques comme Jay ont essayé de trouver des solutions. Après avoir créé sa propre version de l’application, Jay l’a partagée avec un cercle restreint de 15 amis. Ce n’est pas un grand nombre, mais une fuite de l’un d’eux pourrait saper les efforts de recherche des contacts du gouvernement – alors Jay essaie de garder le secret.

Mais il est peu probable qu’il soit le seul à pirater l’application.

Les Indiens qui sont moins technophiles que Jay essaient de trouver des solutions de contournement plus simples, certains déclarant avoir pris des captures d’écran du badge vert pour flasher au lieu de mettre l’application sur leurs appareils.

« Serai-je réservé si je n’ai pas [the] Aarogya Setu [app] installé sur mon téléphone?  » Quelqu’un a demandé sur Reddit plus tôt cette semaine.

« Faites-en votre fond d’écran lol, » répondit quelqu’un. « J’ai travaillé pour un ami à Delhi. »

J’ai révoqué l’emplacement et les autorisations Bluetooth de l’application Aarogya Setu et cela me dit que je suis toujours en sécurité, alors 🤷🏽‍♂️

Twitter

« Je me révolte contre le caractère obligatoire de cette application », a-t-il déclaré. « Je ne veux pas partager ma position 24 heures sur 24, 7 jours sur 7 avec le gouvernement. » Il a déclaré que l’application indienne avait mal résisté à ce que Google et Apple aidaient à construire, des plans qui ne stockent pas d’informations personnelles sur des serveurs centralisés. «Si je codais cette application, j’aurais choisi de garder les points de données au minimum», a-t-il déclaré. « Si j’ai vos informations de localisation pendant un mois, je peux évaluer beaucoup de choses sur votre vie. »

Les préoccupations de Jay sont ancrées dans le bilan du gouvernement indien. Il y a dix ans, lorsque le pays a déployé Aadhaar, un système d’identification biométrique qui stockait les empreintes digitales et l’iris de 1,3 milliard d’Indiens dans une seule base de données, l’inscription était volontaire. Mais bientôt, ce fut presque obligatoire, requis pour tout, de l’obtention d’une connexion de téléphone portable au dépôt des taxes

« Ma préoccupation est que, tout comme avec Aadhaar, vous ne pourrez bientôt pas aller au restaurant ou au cinéma sans installer l’application Aarogya Setu », a déclaré Jay. « Même si le gouvernement ne le rend pas obligatoire, les propriétaires de cinéma vont vous l’imposer. C’est le genre de culture que nous avons. « 

Pour apaiser les problèmes de confidentialité autour de l’application, le gouvernement indien libéré un ensemble de règles lundi sur la façon dont l’application collecte et utilise les données. Entre autres choses, l’ordonnance indique que les données collectées via l’application seront anonymisées et uniquement utilisées à des fins liées à COVID-19, mais sont peu détaillées. Pourtant, l’Inde prévoit d’ajouter de nouvelles fonctionnalités à l’application en plus du suivi des contacts, comme la télémédecine et les laissez-passer électroniques que les États peuvent délivrer pour permettre aux gens de se déplacer une fois que l’Inde aura levé son verrouillage national.

Jay a déclaré qu’il était peu probable qu’il arrête de pirater l’application. «Je vais les suivre», a-t-il déclaré. « S’ils apportent des modifications ou des mises à jour importantes à l’application, je trouverai d’autres solutions. »