L’application mobile de messagerie ToTok, développée par une société des Emirats arabes unis et devenue récemment populaire au Moyen Orient et ailleurs, a été supprimée des magasins d’applications de Google et d’Apple après l’apparition de soupçons d’espionnage des utilisateurs.
Dans une enquête publiée dimanche 22 décembre, le New York Times accuse les services de renseignement émiratis d’avoir un accès direct aux messages et conversation vidéo échangées sur ToTok, ainsi qu’aux données de géolocalisation, à la liste de contacts, aux caméras, micros et calendrier du téléphone. Le journal américain s’appuie sur des sources du renseignement américain et des experts en cybersécurité.
Deux firmes de cyber-renseignement derrière l’application : ToTok, lancée cette année, est développée par « Breej Holding », qui serait en réalité une société de façade de DarkMatter, une firme de cyber-renseignement et de piratage liée au gouvernement émirati, selon le Times. Un rapport du renseignement américain cité par le quotidien lierait aussi ToTok à Pax AI, une société d’intelligence artificielle dont le siège est dans le même immeuble que l’agence d’écoute des Emirats arabes unis, à Abou Dhabi.
Dans un message publié lundi sur son site internet pour répondre à des « rumeurs », ToTok ne dément aucune de ces accusations, et parle essentiellement de son succès récent. La société y affirme respecter « les obligations légales locales et internationales » dans le domaine de la protection de la vie privée, sans dire lesquelles.
Les utilisateurs ouvraient eux-même les portes à l’espionnage : ToTok a confirmé ne plus être disponible sur l’Apple Store et le Google Play Store, mais attribue cette indisponibilité à « un problème technique ». Google a contredit cette assertion, confirmant à l’AFP que l’application a été supprimée « pour un problème de règles. » Patrick Wardle, ancien hacker de l’agence d’espionnage américaine National Security Agency (NSA) interrogé par le Times, a écrit sur un blog que le « génie » de ToTok semblait être que l’application opérait en toute légitimité, puisque les utilisateurs lui ouvraient eux-mêmes les portes de leurs contenus les plus personnels, sans avoir conscience qu’ils étaient ensuite potentiellement exploités par un service de renseignement.
Afp