+ À LIRE AUSSI | Article paru dans Le Soir
1. L’alerte lancée par le centre de cybersécurité de Lituanie
C’est dans un contexte diplomatique déjà crispé entre la Chine et la Lituanie, suite à la décision du pays balte d’accueillir sur son sol un bureau de représentation commerciale de « Taïwan » (et non de « Taipei » comme la Chine l’impose), qu’un rapport de 32 pages a été publié le 23 août 2021 par le centre national de cybersécurité de Lituanie1. Ce rapport épingle les marques chinoises de smartphone Huawei, Xiaomi et OnePlus, confrontées à des problèmes de sécurité depuis 20172.
Censure, fuites données, failles de sécurité sur les apps… Le rapport est pour le moins interpellant. À tel point que les smartphones de ces marques ne sont désormais plus les bienvenus en Lituanie. En septembre, le Vice-Minitre de la Défense, formule la « recommandation de ne pas acheter de nouveaux téléphones chinois et de se débarrasser de ceux déjà achetés aussi vite que raisonnablement possible. »3
1.1. Censure
Des trois marques épinglées, c’est au sujet de Xiaomi que le rapport est le plus détaillé. En décortiquant le modèle « Mi 10T 5G » et son système d’exploitation « MIUI », les auteurs du rapport ont déniché tout un système de censure.
Ce navigateur aurait en effet la capacité de détecter et de censurer quelque 449 termes4comme « Tibet », « Ouïghours », « Taïwan » ou « Démocratie »,bloquant ainsi l’accès à ces contenus. Cette liste noire des termes censurés, hébergée sur fichier appelé « MiAdBlacklistConfig », est mise à jour en permanence depuis la République populaire de Chine5.
1.2. Fuites de données personnelles vers Pékin
Selon le rapport, les applications installées par défaut sur les téléphones Xiaomi envoient aussi des données statistiques sur l’activité d’autres applications aux serveurs d’un fournisseur chinois de services « cloud ». L’envoi automatisé de messages et la fonctionnalité logicielle de leur dissimulation posent des menaces potentielles pour la sécurité de l’appareil et la collecte de données personnelles sur des serveurs distants.
Il a également été établi que lorsqu’un utilisateur choisit d’utiliser les services « cloud » de Xiaomi, conçus pour stocker et synchroniser les données stockées sur l’appareil (dans le carnet de contacts, l’historique des appels, les SMS, les photos, les notes, et l’historique de navigation), son numéro de téléphone mobile serait enregistré sur des serveurs situés à Singapour, à partir d’un système de SMS crypté6.
1.3. Failles de sécurité sur les apps
En ce qui concerne l’analyse de l’appareil Huawei, le rapport affirme que les appareils de la marque constituent une menace car ils redirigent automatiquement les utilisateurs vers des boutiques d’applications tierces, situées à l’étranger pour la plupart et susceptibles d’héberger des programmes infectés par des virus7. En effet, lorsque l’utilisateur d’un appareil Huawei souhaite installer une application mobile, l’utilisateur est automatiquement redirigé vers des plateformes de distribution d’applications situées dans des pays qui ne sont pas couverts par le Règlement général sur la protection des données, ce qui crée un risque de fuite des métadonnées des utilisateurs.8
L’étude a également révélé qu’une partie de ces applications mobiles sont des imitations des applications originales, avec des fonctionnalités malveillantes, voire des virus qui peuvent mettre en danger les données personnelles9.
2. Et en Belgique ? La Sûreté de l’État confirme « des risques d’espionnage »
Les appareils Huawei, Xiaomi et OnePlus sont aussi vendus en Belgique, et sont respectivement les troisième, quatrième et cinquième leaders du marché des smartphones en Belgique10. Alerté par le rapport du centre de sécurité lituanien et au vu de la popularité de ces appareils en Belgique, j’ai voulu savoir ce qu’il en était dans notre pays.
J’ai donc interrogé le Ministre de la Justice, Vincent Van Quickenborne, en décembre dernier au sujet des risques de censure et de cybersurveillance sur les smartphones Huawei, Xiaomi et OnePlus.
En réponse à ma question écrite, le Ministre Van Quickenborne a confirmé qu’«une quantité relativement importante d’informations sont disponibles dans des sources ouvertes sur des paramètres problématiques de certains smartphones en matière de vie privée et de sécurité. En combinaison avec le cadre légal dans lequel les producteurs chinois de smartphones opèrent, la Sûreté de l’État considère qu’il y a au moins un risque de transfert de données indésirable vers l’autorité chinoise et donc d’espionnage.».11
Jusqu’à présent, aucun autre pays membre de l’Union européenne que la Lituanie n’avait confirmé ou infirmé les risques de fuites de données sur ces smartphones. C’est aujourd’hui chose faite en Belgique !
Le cadre légal chinois auquel le Ministre fait référence n’est autre que celui déjà évoqué dans le cadre de l’affaire Alibaba, et dont le Ministre me confirmait déjà les dangers en mai 2021 : «L’article 7 de la loi chinoise de 2017 sur le renseignement national oblige toutes les entreprises à coopérer avec les agences de renseignement chinoises. (…) Cependant, il est fort probable que de tels transferts de données se produisent. Il suffit ici de se référer à la loi nationale de renseignement de 2017 précédemment mentionnée, mais aussi à la législation nationale sur la cybersécurité de 2016. Cette législation chinoise oblige les entreprises chinoises à stocker leurs données sur des serveurs chinois locaux et donne des pouvoirs étendus aux services de sécurité chinois pour consulter les systèmes informatiques des entreprises tant physiquement qu’à distance. En outre, les services de sécurité sont autorisés à copier des données, y compris celles relatives aux utilisateurs. Cette loi s’applique à toute entreprise qui fournit un service via internet (…).»
Il y a quelques semaines, j’alertais une nouvelles fois sur les risques en matière d’espionnage et de fuites de données liés à cette législation et ses conséquences, à travers la présence de milliers de caméras de surveillance des marques chinoises Hikvision et Dahua sur notre territoire, dont au sein de certains lieux sensibles comme des sites militaires, l’aéroport de Bruxelles-national ou encore des centres Fedasil12.
3. Pour un label européen de cybersécurité
Ce n’est pas uniquement un problème d’espionnage chinois. Ce n’est pas la première fois que nous sommes confrontés au risque d’espionnage sur smartphones. Rappelez-vous de Pegasus, utilisé par Israël ou encore le Rwanda.
Nous ne voulons pas vivre dans une société dans laquelle les Européens doivent craindre d’être surveillés, suivis, jugés, voire même censurés, via la simple utilisation de leur smartphone – cet outil qui rassemble aujourd’hui quasi toutes nos données privées !
L’Union européenne est ici confrontée à un choix politique crucial. Laissons-nous entrer sur le marché commun toutes sortes de technologies de surveillance au titre du libre-échange ? Ou décidons-nous, au contraire, d’imposer nos principes, et de protéger nos libertés d’expression, de penser, de s’informer, d’agir, sans entrave, de peu importe quel régime autoritaire ?
Les Verts soutiennent ce choix démocratique. Il est urgent que l’Union européenne impose une interdiction paneuropéenne de la censure, de la collecte illégale de données et de l’espionnage sur les smartphones.13
Les risques de fuite de données ou d’espionnage sur des téléphones Huawei, Xiaomi ou OnePlus exigent des mesures de protection de la vie privée et des libertés des consommateurs européens. Comme la ministre des Télécommunications, Petra de Sutter, le notait en réponse à ma question écrite du 26 novembre 2021, « les schémas de certification européens pourraient fournir à terme un cadre permettant de certifier notamment les logiciels pour certaines applications particulières et donc garantir un meilleur niveau de sécurité informatique »14.
Nous proposons ainsi dans la même lignée un label européen de cybersécurité pour tous les smartphones vendus sur le marché européen. Dans tous les cas, les technologies et services autorisés doivent faire l’objet d’une évaluation appropriée de l’impact sur la vie privée des utilisateurs. De son côté, l’opérateur doit être en mesure de démontrer que les conclusions de cette évaluation apportent des garanties de protection suffisantes et qu’elles feront l’objet d’un contrôle indépendant.
Enfin, il faut oser poser la question de la réappropriation, synonyme de relocalisation, de la production des téléphones portables et technologies de l’information dans l’économie européenne. Il faut une prise de conscience de l’impact de nos smartphones sur nos libertés individuelles, mais aussi sur les travailleurs et l’environnement. Le smartphone de demain devra être durable, écologique, éthique et respectueux de la vie privée.
Sources
1https://www.nksc.lt/doc/en/analysis/2021-08-23_5G-CN-analysis_env3.pdf
2https://www.cnet.com/tech/mobile/huawei-oneplus-china-biggest-smartphone-brands-you-should-know-about-lenovo-meizu-xiaomi-oppo-vivo/
3https://www.journaldugeek.com/2021/09/23/la-lituanie-conseille-de-vous-debarrasser-de-votre-smartphone-chinois/
4https://www.nksc.lt/doc/en/analysis/2021-09-27_Amendment-EN-full.pdf
5https://www.liberation.fr/international/espionnage-et-censure-la-lituanie-exhorte-a-se-debarrasser-des-smartphones-chinois-20210922_PJNZRD3TKFHY5LDWDTOHJC4Z3E/
6https://www.nksc.lt/doc/en/analysis/2021-08-23_5G-CN-analysis_env3.pdf, pp. 26-32
7https://www.nksc.lt/doc/en/analysis/2021-08-23_5G-CN-analysis_env3.pdf, p. 5
8https://www.nksc.lt/doc/en/analysis/2021-08-23_5G-CN-analysis_env3.pdf, pp. 5-14
9Ibidem.
10https://gs.statcounter.com/vendor-market-share/mobile/belgium
11Réponse à la question écrite n° 55-2-000909 de monsieur le député Samuel COGOLATI du 16/12/2021 au Vice-Premier ministre et ministre de la Justice et de la Mer du Nord.
12https://www.rtbf.be/article/souriez-vous-etes-filmes-par-la-chine-10918730?fbclid=IwAR0iZ-2EyFSJH2eW8LSTGWxhRyXeLEKP51HiRrSXTPi2Wnfr2lJgies3GsA
13http://extranet.greens-efa-service.eu/public/media/file/1/7487Executive
14ibid.