SAIP (Système d’alerte et d’information des populations), l’application d’urgence du gouvernement français serait bien bavarde et gourmande en données personnelles et de localisation. Voici en exclusivité l’étude complète d’un hacker indépendant.
En deux mots, SAIP est une application d’alerte toute récente, largement vantée par le gouvernement français, dont le but est d’alerter et d’informer les populations en cas d’attentat. Cela part donc d’une bonne attention, mais il semblerait que l’appli soit du genre invasive. C’est en tout cas ce qui ressort d’une analyse complète menée sur l’application Android SAIP par un hacker français sous couvert d’anonymat. Côté statistiques, on a déjà largement dépassé les 100 000 téléchargements sur Google Play et l’App Store…
SAIP – Quels reproches ?
L’application est développée par le société privé Deveryware, dont le directeur général Stéphane Schmoll a du faire face à plusieurs critiques. On été évoqué notamment la problématique d’accès aux données privées dans la mémoire des appareils (via les droits trop importants lors de l’installation) ainsi que l’envoi de données de géolocalisation.
Pourtant, sur le site officiel du gouvernement, on peut lire en gros caractères le message suivant :
“Le Gouvernement a choisi une technologie qui garantit l’anonymat total des utilisateurs de l’application.”
Même son de cloche sur Europe 1 lors d’une interview du prestataire du ministère de l’Intérieur :
« Ni les noms ni les numéros ni les localisations des utilisateurs ne seront connus de la société ou des autorités, assure Deveryware, qui précise avoir déposé un brevet pour cette innovation technologique ».
Or, le hacker français s’étant penché sur le code source de l’application n’est pas si catégorique sur la surveillance des utilisateurs ayant installé l’application controversée. En effet, SAIP utilise la librairie de crash-reporting cross-plateforme Crashlytics, ce qui lui a permis d’étudier en détail ce qu’il se passe lorsque l’application crash.
En cas de crash, SAIP est très gourmand en données personnelles
Il s’avère qu’en cas de crash, d’après la configuration de Crashlytics, SAIP enregistre tout un tas de paramètres tels que l’état de l’écran (allumé/éteins), la version de l’appli, la version de l’OS, le niveau de charge de la batterie, la latitude, la longitude, la précision, la date et l’heure, et le fournisseur GPS/GLONASS, WiFi.
Les données sont donc potentiellement envoyées sur des serveurs distants en cas de crash-reporting de l’application. De plus, un fichier log est conservé en local sur l’appareil (d’où les droits d’accès à la mémoire), en dehors de la sandbox de l’appli, et donc, lisible par n’importe quelle autre application possédant les droits d’accès au système de fichiers de l’utilisateur.
Un cas concret de détournement et d’exploitation ? Prenez un utilisateur de SAIP. Celui-ci est victime d’un crash de l’appli sur son mobile lors des premiers jours d’utilisation. Quelques jours ou semaines plus tard, ce même utilisateur va télécharger et installer une autre application qui requiert des droits d’accès aux fichiers de l’appareil. Si cette application est malveillante, elle pourra lire et s’emparer des données présentes dans le fichier log généré par le debug interne de SAIP et connaître pas mal d’informations ciblant l’utilisateur : cet utilisateur avait son téléphone en charge ce jour, à telle heure, et aux coordonnées xxxxxxxxx. Potentiellement à son domicile selon l’heure tardive…
Bref, si vous êtes à cheval sur le respect de la vie privée et la sécurité, évitez l’application SAIP.
Ce n’est pas si nouveau. Il ne fait pas bon de surfer sur les sites gouvernementaux!
Les commentaires sont fermés.