En Inde, un informaticien toulousain découvre qu’une application mobile collecte des données sans autorisation

Un ingénieur français révèle que l'application dédiée au Premier ministre Narendra Modi récolte les données de ses utilisateurs sans leur autorisation, notamment leur géolocalisation. 

Le Premier ministre indien Narendra Modi prend un selfie durant sa campagne, en 2014.
Le Premier ministre indien Narendra Modi prend un selfie durant sa campagne, en 2014. (STRDEL / AFP)

Dans le sillage du scandale Cambridge Analytica, une application pour smartphone en Inde créé la controverse : celle de Narendra Modi. Le Premier ministre indien a l'avait lancé en 2015. Elle permet aux utilisateurs de poser des questions à l'homme d'État, de suivre ses discours ainsi que ses réformes. Cinq millions de personnes l'ont déjà téléchargé.

L'usager est invité à communiquer ses informations personnelles, comme son nom, son mail, son lieu de résidence, mais aussi sa géolocalisation. Mais selon un ingénieur toulousain, ces données sont récoltées sans l'autorisation des utilisateurs, et envoyées à une société d’analyse alors que l’application assure ne les partager avec aucun tiers.

Une faille de sécurité dangereuse

"Prendre l’adresse IP une fois comme ça, il n’y a pas mort d’homme. Mais si on fait ça de manière systématique et qu’on interprète ces données - c’est ce qu’a fait Cambridge Analytica - on est capable d’obtenir le profil d’une personne et de ses habitudes très rapidement", explique Baptiste Robert à franceinfo.

Baptiste Robert, alias Elliot Alderson en référence au hacker héros de la série Mr Robot, est un ingénieur toulousain de 28 ans spécialisé dans les logiciels pour la plateforme Android. Il travaille depuis trois mois avec ses confrères indiens à l’identification des sources de vulnérabilités des réseaux et c’est lui qui a découvert cette faille de sécurité.

Dresser un profil psychologique en 30 "likes"

Une faille qu’il juge dangereuse : "J’ai votre adresse IP, vos préférences, votre religion, plein d’informations personnelles sur vous. Si je veux vous faire bosser pour moi je vais essayer de moduler l’actualité dans l’application par rapport à ces informations-là. Ça, c’est techniquement tout à fait faisable puisque silencieusement on peut voir dans l’application qu’on envoie déjà ces données-là", précise l’ingénieur.

"Sur Facebook à partir de 30 likes on est capable de dresser le profil psychologique d’une personne", complète encore Baptiste Robert. Les découvertes de l’ingénieur français ont entrainé des modifications dans la politique de confidentialité de l’application.