Applications anti-Covid Bolchoï Brother

Pendant le confinement, les autorités russes ont collecté une masse importante d’informations personnelles via des applications de suivi des personnes contaminées et de contrôle des déplacements. Des doutes subsistent sur le devenir de ces données.

Au milieu du mois d’avril, un système de laissez-passer électroniques est mis en place à Moscou et dans plusieurs régions afin d’inciter la population à respecter le confinement. Dans la capitale, pour pouvoir se déplacer en transport en commun ou à bord d’un véhicule personnel, un formulaire doit être rempli sur le site de la mairie. Parmi les informations requises : nom et prénom, numéro de téléphone, adresse e-mail, numéro de passeport, numéro d’immatriculation ou de carte de transport, adresse privée, motif du trajet, destination…

Les personnes testées positives à la Covid-19, placées en quarantaine à domicile, subissent une surveillance encore plus poussée : l’application Monitoring social, qu’ils doivent télécharger sur leur smartphone, a accès à un grand nombre de données contenues dans l’appareil de l’utilisateur ‒ au premier rang desquelles, sa localisation.

Les bases de données ne sont pas protégées contre l’intrusion des informaticiens chargés de la maintenance des sites ou des employés de la mairie.


Enfin, un quart des 85 régions du pays ont recours à StopCoronavirus, une application du ministère des Télécommunications. Dès sa page d’accueil, le service avertit les utilisateurs que leurs déplacements seront contrôlés via les données des opérateurs mobiles et des banques.

Fuites prévisibles

Rapidement, de graves failles de sécurité apparaissent. Dès le mois de mai, la chaîne Telegram Nora Ejika (« La tanière du hérisson »), tenue par un juriste moscovite, signale que n’importe qui peut entrer un numéro de télépaiement des amendes (infligées pour non-respect du confinement) sur le site consacré, et découvrir les nom, prénom et numéro de passeport de la personne verbalisée. « Aucun pirate informatique ne perdra son temps à tester des millions de combinaisons pour retrouver une centaine de profils. Cependant, il existe des programmes informatiques capables d’effectuer cette tâche automatiquement », souligne à ce propos Alexeï Drozd, directeur du service de sécurité du fabricant de logiciels SearchInform.

De manière générale, l’informaticien alerte sur la vulnérabilité des sites et applications de la mairie de Moscou et du ministère des Télécommunications, conçus à la hâte et mis à la disposition du public sans avoir été sérieusement testés. « Habituellement, les programmeurs qui élaborent des applications au contenu aussi sensible les testent plusieurs fois pour corriger les erreurs et renforcer la sécurité, rappelle-t-il. En l’occurrence, beaucoup d’aspects essentiels ont été bâclés dans l’urgence. » Il souligne que les bases de données ne sont même pas protégées contre l’intrusion des informaticiens chargés de la maintenance des sites ou des employés de la mairie.

Le réseau social Odnoklassniki possède une des plus importantes bases de données concernant la population russe. Photo : Natalia Seliverstova / RIA Novosti

Or le trafic de données est une activité des plus florissantes : en décembre 2019, le site d’information MBKh Media avait diffusé un reportage expliquant comment des policiers vendaient, sur des sites clandestins, des accès au centre de stockage des données issues des caméras de surveillance moscovites. Plus récemment, des agents d’assurances étaient soupçonnés de revendre des informations concernant leurs clients.

Selon Sarkis Darbinian, avocat spécialisé dans la cybersécurité, ces données pourraient intéresser des entreprises cherchant à cibler leurs publicités ou des banques voulant s’assurer de la solvabilité de potentiels emprunteurs. Sans oublier les escrocs : ces dernières semaines ont vu une recrudescence des arnaques téléphoniques. « Lorsque quelqu’un vous appelle sur votre téléphone personnel en se faisant passer pour un conseiller bancaire et s’adresse à vous par vos nom et prénom, il y a plus de chances pour que vous vous fiiez à lui et révéliez votre numéro de compte », explique Vladimir Oulianov, directeur du centre d’analyses de l’entreprise informatique Zecurion.

Face aux critiques, la mairie de Moscou a ordonné un audit de la sécurité des systèmes. Le portail des marchés publics indique que le département informatique de la mairie prévoit de dépenser près d’1,9 million d’euros en « services d’analyse de la sécurité des systèmes informatiques ». Une information confirmée par le service de presse qui précise que « les systèmes informatiques municipaux sont périodiquement la cible de cyberattaques ».

Surveillance arbitraire

Le 1er juillet, le ministère des Télécommunications a annoncé la suppression – de tous les serveurs fédéraux – des données personnelles fournies lors des demandes de laissez-passer, à l’exception de celles concernant des personnes verbalisées qui contestent leurs amendes devant les tribunaux. Cette annonce n’a pas rassuré les défenseurs des libertés : les plateformes ne sont pas toutes concernées, notamment celles gérées par la mairie de Moscou…

L’application Monitoring social est accusée de glaner des informations personnelles sans l’accord des utilisateurs.

Parmi ces dernières, l’application Moritoring social, obligatoire pour tous les Moscovites malades de la Covid-19, concentre les critiques. L’envoi nocturne de notifications exigeant un selfie express du patient afin de confirmer sa présence chez lui est particulièrement pointé du doigt : une amende de 52 euros est infligée à l’utilisateur qui n’y répondrait pas dans l’heure. Or les problèmes techniques sont légion, provoquant des situations absurdes : « Vous ne savez plus quoi inventer pour soutirer de l’argent aux gens ! Ma mère est alitée, mais on lui inflige une amende pour avoir été géolocalisée dans la rue. C’est une blague ? », témoigne Dmitri dans un commentaire sur l’Appstore, où l’application a reçu la note de 1,4/5…

Une femme enceinte mise en quarantaine pour avoir été en contact avec un malade explique, de son côté, avoir reçu huit amendes d’un montant total de 208 euros alors qu’elle se trouvait en observation à l’hôpital. Elle a finalement été testée négative à la Covid-19…

Un chiffre traduit le caractère arbitraire du « suivi » effectué par Monitoring social : un tiers des 67 000 utilisateurs recensés au milieu de juin avaient été sanctionnés… En réaction, l’ONG Human Rights Watch et le Conseil présidentiel pour les droits de l’homme ont appelé les autorités à supprimer l’application et à annuler les contraventions. L’Association des juristes de Russie estime en outre que le programme « pourrait servir de logiciel espion, glanant des informations et modifiant sans autorisation les paramètres du téléphone ».

En réponse, la mairie de Moscou a indiqué que la suppression du Monitoring social n’était pas à l’ordre du jour. Plus généralement, les autorités russes sont loin d’abandonner les nouvelles technologies dans la lutte contre la Covid-19 : le 6 juillet, le ministère des Télécommunications a annoncé vouloir tracer non seulement les malades, mais aussi toute personne s’en étant approchée, à l’aide des données de géolocalisation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *