En juin 2020, l’Inde a officiellement interdit 59 applications chinoises pour la première fois, déclarant que ces applications menaçaient la vie privée et la sécurité des données des utilisateurs indiens. En novembre 2020, le nombre d’applications interdites est passé à 220.
Les applications interdites ont non seulement été retirées des magasins d’applications de Google et d’Apple, mais des mécanismes supplémentaires ont été mis en place pour rendre ces applications non fonctionnelles, même lorsqu’elles étaient préinstallées (avant l’interdiction). Par exemple, les utilisateurs indiens voient apparaître un message d’erreur de connexion au réseau lorsqu’ils ouvrent l’application populaire TikTok (figure 1).
Alors que le filtrage sur le web a été largement étudié (voir cet article et cet article), c’est la première fois qu’un tel blocage au niveau de l’application est observé, ce qui a nécessité un examen approfondi des techniques employées.
Dans une étude conjointe menée par l’Institut Max Planck d’informatique, l’IIIT Delhi et le BITS Pilani Goa, les chercheurs ont révélé que le blocage des applications n’est pas effectué par les fournisseurs d’accès à Internet indiens , mais par les serveurs d’applications. Cette nouvelle stratégie de blocage s’écarte du modèle connu de filtrage du trafic : Les FAI restreignent l’accès aux sites web en plaçant des règles de pare-feu dans leurs réseaux, mais ils ne jouent aucun rôle dans le blocage des applications. Pour plus de détails, voir le document PAM 2024.
Mécanismes de filtrage des applications
Les chercheurs ont mené une enquête technique approfondie impliquant la rétro-ingénierie de certaines applications bloquées. Ils ont utilisé Man in The Middle Proxy (voir lien) pour voir le trafic de l’application en texte clair et ont inspecté le code en décompilant les applications (voir lien). L’analyse a révélé qu’il existe trois niveaux de blocage des applications pour les utilisateurs indiens.
- Les applications de niveau 3 sont celles qui ne sont pas disponibles dans les magasins d’applications indiens. Les chercheurs ont recensé 160 applications de ce type ; les utilisateurs peuvent accéder à 136 d’entre elles directement après leur installation, telles que Dawn of Isles et Game of Sultans.
- Les applications de niveau 2, après leur installation, continueraient à être bloquées. Ces éditeurs d’applications filtrent sélectivement les clients indiens à l’aide du géoblocage, en limitant le trafic des applications provenant d’adresses IP appartenant à des FAI indiens. Vingt-trois applications (sur les 160 précédentes) appartiennent à cette catégorie (par exemple, PUBG, Baidu, ShareIt).
- Les applications de niveau 1 utilisent les techniques les plus sophistiquées. Ces applications bloquent les utilisateurs en sondant et en extrayant les codes de pays des cartes SIM installées sur leurs téléphones (voir figure 2). Au total, 7 applications (sur les 23 précédentes) utilisent de telles techniques de filtrage (par exemple, TikTok, UC Browser, V-Fly).
Contourner le filtrage côté serveur
Pour contourner le blocage des applications, les chercheurs ont obtenu les fichiers .apk des applications bloquées à partir de sources tierces (par exemple, apkmirror.com) et les ont installés.
Après l’installation, la plupart de ces applications (136/160) étaient accessibles et fonctionnaient comme prévu. Les applications inaccessibles appartenaient aux niveaux 2 et 1.
Les applications de niveau 2 étaient accessibles par l’intermédiaire de VPN, qui remplaçaient l’adresse IP indienne par une adresse étrangère.
Les sept autres applications (de niveau 1) n’étaient accessibles que si l’on retirait la carte SIM et que l’on utilisait un VPN. Cette étape permet de dissimuler les informations locales de la carte SIM et l’adresse IP. La figure 3 résume les trois niveaux de blocage.
Pourquoi les éditeurs d’applications filtrent les utilisateurs indiens
Il est naturel de se demander pourquoi les éditeurs d’applications filtrent les utilisateurs indiens alors que nombre d’entre eux n’opèrent pas depuis l’Inde.
Des preuves anecdotiques suggèrent que les éditeurs espéraient que l’interdiction serait temporaire et qu’ils l’ont donc respectée. Certaines entreprises communiquaient avec le gouvernement indien et attendaient son accord pour relancer les applications.
Toutefois, en janvier 2021, le gouvernement a définitivement interdit les 220 applications. Même à ce moment-là, les éditeurs d’applications ont poursuivi le filtrage et imposé une censure plus stricte aux utilisateurs indiens, tandis que les fournisseurs de services Internet n’ont joué aucun rôle. La raison pour laquelle les éditeurs d’applications (et non les FAI) filtrent les utilisateurs indiens n’est pas claire.
Le chemin à parcourir
Récemment, la Chambre des représentants des États-Unis a voté un projet de loi qui pourrait conduire à l’interdiction de TikTok à l’échelle nationale, en invoquant les préoccupations des citoyens américains en matière de protection de la vie privée. En suivant le modèle de bannissement d’applications existant, de nombreux éditeurs d’applications pourraient adopter des techniques similaires stipulant les ordres des autorités compétentes de différents États-nations.
Il est inquiétant de constater que les applications peuvent restreindre les utilisateurs même sans communiquer avec les serveurs d’applications. La logique permettant d’extraire la localisation des utilisateurs (par exemple, à partir des cartes SIM) peut être intégrée dans le binaire de l’application. Il s’agit là d’une nouvelle source d’inquiétude, et il ne fait aucun doute que des travaux supplémentaires doivent être menés dans ce domaine, car d’autres gouvernements envisagent de promulguer des interdictions similaires.
En fin de compte, le risque d’interdire des applications et des services doit être mis en balance avec l’impact de l’interdiction des droits des personnes à l’information et à la capacité d’accéder à des services via des canaux de connexion intégrés.
Devashish Gosain est chercheur associé au MPI-INF et professeur assistant au campus de Goa de BITS Pilani.
Les opinions exprimées par les auteurs de ce blog sont les leurs et ne reflètent pas nécessairement celles de l’Internet Society.
Photo de Solen Feyissa sur Unsplash