Nouvels de cryptographie

Sanchar Saathi & Max - Comment l'Inde et la Russie mettent la surveillance à la portée de tous

Trois mois seulement après l'introduction forcée de l'application Max en Russie, l'Inde oblige désormais les fabricants de smartphones à livrer tous leurs appareils avec l'application d'État Sanchar Saathi. Déguisées en "applications de sécurité", ces installations forcées d'applications peuvent être facilement utilisées à des fins de surveillance de masse.

Tweet about Indian mandate to preinstall Sanchar Saathi on all phones.

Ces derniers mois, deux des plus grands pays du monde - l'Inde et la Russie - ont ordonné que des applications de communication contrôlées par l'État soient préinstallées sur les smartphones vendus dans ces pays. L'Inde vient d'ordonner que l'application Sanchar Saathi soit préinstallée sur tous les nouveaux téléphones et mise à disposition sur les anciens par le biais d'une mise à jour ; une application dont "les fonctionnalités ne peuvent pas être désactivées ou restreintes". La Russie a émis une ordonnance similaire en août, exigeant que l'application de communication Max, propriété de l'État, soit préinstallée sur tous les smartphones et tablettes vendus dans le pays.

Ces applications de communication se présentent comme des alternatives “souveraines” à WhatsApp - mais pour la protection de la vie privée, Tuta recommande vivement ces alternatives - alors qu’en réalité, les applications contrôlées par l’État ouvrent la porte à une surveillance de masse illimitée et transforment tous les téléphones de ces pays en petites machines de surveillance - sans même nécessiter de porte dérobée pour le chiffrement.

Turn ON Privacy in one click.

Des outils de surveillance déguisés en “applications de sécurité”

App-Berechtigungen der Sanchar Saathi-App. App-Berechtigungen der Sanchar Saathi-App. Permissions de l’application Sanchar Saathi. Capture d’écran : Reddit.

Cette semaine, le gouvernement indien a annoncé que l’application Sanchar Saathi devait être préinstallée et qu’elle ne pouvait pas être “désactivée ou restreinte”. Cette application est censée aider à lutter contre le vol et la perte de smartphones. Publiée pour la première fois en janvier 2025, l’application indienne permet aux utilisateurs de vérifier l’IMEI de leur appareil, de signaler la perte ou le vol de leur téléphone et de signaler les messages qu’ils jugent frauduleux. Selon des sources officielles, l’application a permis de détecter ou de bloquer plus de 4,2 millions de téléphones perdus ou volés depuis son lancement, sur un marché de plus d’un milliard de téléphones.

L’IMEI (International Mobile Equipment Identity) est un code de 15 chiffres qui identifie de manière unique un appareil mobile et l’authentifie sur un réseau cellulaire. Le gouvernement indien explique que l’une des raisons du lancement de l’application est qu’il souhaite sévir contre les smartphones dont le numéro IMEI est dupliqué ou usurpé, car cela mettrait “gravement en danger” la cybersécurité.

Le marché indien des appareils mobiles d’occasion est important. On a également observé des cas de revente d’appareils volés ou figurant sur la liste noire”, précise le communiqué du gouvernement.

Une histoire similaire s’est déroulée trois mois plus tôt en Russie. Le gouvernement russe a publié une politique similaire avec MAX, une nouvelle application de messagerie développée par la société d’État VK. À partir du 1er septembre 2025, tous les smartphones et tablettes vendus en Russie devront être équipés de MAX.

Mais Max n’est pas une simple application de messagerie. À l’instar de WeChat en Chine, elle est censée devenir une “super-app” qui combine le chat et la messagerie, les paiements, les identifiants numériques et l’accès aux services gouvernementaux.

Mais sous la surface, les experts en sécurité et en protection de la vie privée affirment que les deux applications - Sanchar Saathi et Max - sont conçues pour la surveillance de masse. Les deux applications ne sont pas dotées d’un cryptage de bout en bout solide et peuvent être facilement utilisées à des fins de surveillance.

Sanchaar Saathi dispose d’un nombre étonnamment élevé d’autorisations : L’application indienne peut passer et gérer des appels téléphoniques, envoyer des messages de chat, accéder aux journaux des appels et des messages, ainsi qu’aux photos, aux fichiers et à l’appareil photo du téléphone.

Les défenseurs de la vie privée ont décrit l’application Max comme faisant partie du rideau de fer numérique russe: L’objectif est de remplacer les applications de chat cryptées étrangères par Max, développée et contrôlée par VKontake, une société directement liée au Kremlin.

Apple ne s’y pliera pas

La nouvelle règle indienne obligerait les fabricants de smartphones (Apple, Samsung, Xiaomi, Oppo, Vivo et d’autres) à préinstaller l’application de manière à ce qu’elle soit “facilement visible et accessible” aux utilisateurs lorsqu’ils configurent leur téléphone ; les fonctionnalités de l’application ne doivent pas être désactivées ou restreintes. En outre, les fabricants de téléphones doivent “s’efforcer” d’installer l’application sur les téléphones plus anciens par le biais de mises à jour logicielles. Les entreprises ont été invitées à envoyer un rapport de conformité dans un délai de 120 jours.

Si les autres fabricants de smartphones n’ont pas encore fait de commentaires à ce sujet, Apple a déjà déclaré qu’il ne se conformerait pas à l’ordre de préinstaller cette application d’État sur les iPhones.

Comment l’espionnage via ces applications gouvernementales pourrait fonctionner

Sanchar Saathi et Max sont des applications à source fermée, et personne ne peut voir ce qu’elles font exactement - et c’est précisément la raison pour laquelle ces applications sont si dangereuses.

Mais commençons par le commencement : Les applications cryptées de bout en bout comme Signal et Tuta Mail resteront sûres, car ces applications d’État ne sont pas en mesure de briser le cryptage. Donc, si vous êtes en Inde, passez dès maintenant à des alternatives privées et chiffrées, éventuellement en provenance d’Europe, une région dotée de certaines des meilleures lois en matière de protection des données, à savoir le GDPR.

Cependant, la mauvaise nouvelle est la suivante : une telle application n’a pas besoin de casser le cryptage : Une telle application n’a pas besoin de briser le cryptage pour en apprendre beaucoup sur vous. Elle peut être profondément intégrée à votre appareil et apprendre beaucoup de choses à partir des métadonnées. L’application d’État peut se faire une idée de l’activité de l’appareil, des informations de contact, des mouvements et des habitudes de communication. Même sans accéder au contenu crypté, elle peut savoir à qui vous parlez, quand et pendant combien de temps, où vous étiez à ce moment-là et quelles applications vous utilisez régulièrement. Ces métadonnées sont souvent aussi révélatrices que le contenu des messages, car elles dévoilent vos réseaux sociaux, vos habitudes et votre emplacement physique.

Étant donné que les possibilités de vous surveiller semblent devenir infinies, il est d’autant plus important que vous commenciez à utiliser des applications de messagerie et de chat sécurisées et cryptées telles que Signal et Tuta Mail.

Turn ON Privacy in one click.

Dernière réflexion

2025 est une année difficile pour le droit à la vie privée dans le monde. Alors que l’Union européenne a finalement opté pour une version de Chat Control qui ne rompt pas le chiffrement de bout en bout en raison de la forte réaction de l’opinion publique, la Russie et l’Inde semblent suivre la voie de la Chine : Plus de surveillance, plus de contrôle. En intégrant leurs applications contrôlées par l’État directement dans les appareils que les citoyens utilisent quotidiennement, elles créent les outils parfaits pour surveiller chaque pas de leurs propres citoyens.

Pour nous, à Tuta, c’est très alarmant : Nous devons nous assurer que nos appareils nous appartiennent - et non pas à Big Tech (comme dans le cas où Google essaie de limiter les applications que vous pouvez installer, et Apple ne vous permet toujours pas d’installer les applications de votre choix) et non pas au gouvernement qui veut imposer des applications de surveillance appartenant à l’État sur les téléphones des utilisateurs.

Ensemble, nous devons continuer à nous battre pour notre droit à la vie privée !

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.