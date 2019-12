ToTok fait partie des 50 applications les plus téléchargées sur Google Play en Arabie saoudite ou encore en Inde. Mais ce succès grandissant pourrait bien prendre fin, car l'application est accusée par le New York Times de transmettre les informations personnelles de ses utilisateurs aux services de renseignement des Émirats arabes unis.

Par Rachel Saadoddine

Derrière ce petit nom enfantin, « ToTok », pourrait bien se cacher une affaire d'espionnage étatique mettant en cause les Émirats arabes unis, pays pourtant vanté comme l'exemple par excellence d'une nation arabe moderne et modérée.

Au départ, ToTok a tout pour plaire. Il s'agit d'une application mobile de messagerie instantanée développée par la société émiratie « Breej Holding ». Dessus, on peut envoyer des messages, mais aussi des photos, des vidéos et des audios. Tout comme WhatsApp, l'application permet de passer des appels vidéos, un modèle bien connu et à première vu plutôt pratique.

Lancée le 31 juillet dernier, ToTok est rapidement devenue l'application de messagerie de référence dans la péninsule arabique.

Une application en apparence simple

On connaît bien ces applications comme WhatsApp, Telegram, Skype, Signal, mais il y a toujours la question de la confidentialité des données échangées. ToTok n'a pas exemple pas de service crypté. L'application se contente de demander en un clic l'autorisation d'accéder aux données des utilisateurs, et ne réclame pas uniquement l'accès au micro et à la caméra.

C'est une technique rodée, explique Baptiste Robert, chercheur en cybersécurité : « Cette application ne va pas pirater votre téléphone, elle ne fait qu'utiliser le système de permission standard que toutes les autres applications de messagerie utilisent. Sauf que lorsque vous donnez le droit à l'application de lire vos contacts, elle va prendre tout votre carnet de contacts et l'envoyer sur ses serveurs. »

Pour Baptiste Robert, la puissance de ce mode opératoire, c'est sa simplicité : « Elle ne va pas faire des choses très techniques, mais simplement rendre une application populaire et récupérer les données des utilisateurs. »

ToTok récupère les données personnelles

Jusqu'ici, rien de bien étonnant ; on peut même dire que les utilisateurs donnent volontairement accès à leurs données. Mais ce que le New York Times révèle, c'est que ces données sont ensuite récupérées par les services de renseignement émiratis.

Les Émirats arabes unis auraient un accès direct aux messages et aux conversations vidéos échangés sur ToTok, aux données de géolocalisation, à la liste des contacts, aux caméras, aux micros et au calendrier du téléphone.

Ce que révèle le journal américain, c'est que lorsque ToTok vous demande d'accéder à votre position pour vous fournir la météo la plus précise possible, en réalité elle transmet votre géolocalisation à l'État émirati. De même, lorsque l'application s'intéresse à votre liste de contacts pour cerner votre profil et vous mettre en relation avec de nouveaux utilisateurs, elle transmet votre répertoire aux services de renseignement.

Si pour le moment, l'application nie ces accusations. Apple et Google ont pris les devants en retirant ToTok de la liste des applications téléchargeables. Mais les utilisateurs déjà en possession de l'application peuvent continuer à l'utiliser.