Une application de propagande chinoise largement téléchargée qui interroge les utilisateurs sur les héros du Parti communiste et les réalisations militaires peut « les étudier tout de suite » grâce à la collecte de données et aux failles de sécurité potentielles, dit un groupe de campagne pour la liberté d'Internet.

L'application, appelée « Xuexi Qianguo » ou « Étude pour rendre la Chine forte », a accumulé 130 millions d'utilisateurs depuis son lancement par la branche de propagande du Parti communiste en janvier. selon les médias d'État en août.

Commercialisé comme un outil pédagogique, il attribue des points pour le partage d'articles et le visionnage de vidéos telles que les discours du président chinois Xi Jinping.

Mais l'Open Technology Fund (OTF), un groupe financé par le gouvernement américain qui milite pour la liberté d'Internet, affirme que les utilisateurs fournissent également une pléthore de données à l'application, y compris l'emplacement et les e-mails.

L'OTF a engagé la société de technologie allemande indépendante Cure53 pour étudier l'application.

Alors que le Parti communiste l'annonce comme "un moyen pour les citoyens de prouver leur loyauté et d'étudier leur pays, les mainteneurs de l'application les étudient tout de suite", OTF a écrit sur son site Web.

Les conditions générales de l'application indiquent également que les utilisateurs peuvent avoir à fournir plus d'informations personnelles, telles que les empreintes digitales et les numéros d'identification, en fonction des fonctionnalités ou des outils tiers auxquels ils souhaitent accéder.

Le gouvernement chinois est de plus en plus surveillé en matière de surveillance de haute technologie, des caméras de sécurité à reconnaissance faciale aux applications utilisées par la police pour extraire des informations personnelles des smartphones aux points de contrôle.

Et bien que « Study to make China strong » soit une application éducative, Cure53 a déclaré qu'il contenait du code qui pourrait exécuter des "commandes arbitraires" - rappelant une porte dérobée - sur certains téléphones.

L'application "maintient un niveau d'accès qu'aucune application n'aurait normalement sur l'appareil d'un utilisateur", dit la FTO.

« Application intrusive »

L'enquête, qui a eu lieu en août, n'a regardé que la version Android de l'application, en partie à cause de sa domination du marché, dit Sarah Aoun, directeur de la technologie du groupe.

OTF envisage de s'attaquer ensuite à la version iOS, qui fonctionne sur les iPhones d'Apple, Aoun a déclaré à l'AFP.

"C'est juste une autre façon d'étendre ce contrôle numérique grâce à une application très intrusive qui est poussée sur ses citoyens, " dit Aoun.

Le bras de propagande du Parti communiste, qui est responsable de l'application, n'a pas répondu à la demande de commentaires de l'AFP.

Des dizaines de gouvernements provinciaux et de comtés à travers le pays auraient organisé des ateliers pour promouvoir l'application plus tôt cette année.

Les journalistes chinois devront également utiliser l'application pour les examens d'accréditation de presse en ligne plus tard ce mois-ci et en novembre, a déclaré la semaine dernière un avis du Conseil d'Etat, Cabinet de la Chine.

"Il est inhabituel de voir autant de données collectées pour une application éducative, " a déclaré Jane Manchun Wong, qui effectue la rétro-ingénierie des applications pour les vulnérabilités de sécurité et les fonctionnalités inédites.

"C'est comme lire un livre sur la grande nation, mais le livre fouille en quelque sorte votre maison, ", a-t-elle déclaré à l'AFP.

L'application recherche également 960 applications, y compris les jeux, applications de voyage et de discussion – apparaissant comme « en essayant de trouver quelles applications populaires sont installées sur le téléphone », dit le rapport de Cure53.

'Code effrayant'

Un porte-parole de DingTalk, une plate-forme de discussion d'entreprise qui a été utilisée pour créer l'application, a déclaré à l'AFP qu'il n'avait "pas de 'code de porte dérobée' ni de problèmes de numérisation".

Mais l'OTF a déclaré que les données des utilisateurs et leurs téléphones pourraient être davantage compromis si le code qui "équivaut à une porte dérobée" s'exécutait avec succès.

Actuellement, ce code n'affecte que les téléphones sur lesquels les utilisateurs ont installé un logiciel qui leur confère des privilèges de « superutilisateur », tels que la possibilité de modifier le code de l'appareil.

Mais les applications peuvent également abuser de ce niveau de privilège pour prendre le contrôle de l'appareil d'un utilisateur.

"Le code qu'ils ont trouvé est effrayant", Baptiste Robert, un chercheur français en sécurité, a déclaré à l'AFP, mais a mis en garde contre l'utilisation du mot porte dérobée.

L'enquête n'a également trouvé "aucune preuve" que le code a été utilisé lors des tests, avec Cure53 concluant qu'une « enquête plus approfondie » était nécessaire pour déterminer comment il était utilisé.

Le code "peut éveiller les soupçons, " Robert dit, mais conclure qu'il y a "un vaste espionnage en provenance de Chine est compliqué".

© 2019 AFP