Le Qatar : champion du monde du vol de données ?

Quelques jours avant le coup d’envoi de la Coupe du monde au Qatar, le gendarme français de la donnée, la CNIL, affichait son inquiétude : les deux applications requises pour assister aux matchs présentent de nombreux risques concernant la protection des données. Le Qatar, déjà soupçonné de cyberespionnage, semble profiter de cet événement pour organiser une récolte massive de données.

La vingt-deuxième édition de la Coupe du monde de football au Qatar, qui a débuté en novembre, fait couler beaucoup d’encre dans le monde du sport, des droits humains et des travailleurs mais également du risque de vol de données. Le Qatar recevra en tout plus d’un million de supporters sur le mois de compétition, dont onze mille Français. L’organisation de cet afflux de touristes est donc un réel défi pour ce pays de deux millions et demi d’habitants (transports, hôtels, billetterie, etc.). Il se pourrait que ces supporters soient également une source d'informations inestimables pour les autorités qataries. Pour assister à un match, il faut évidemment dépenser une somme d’argent conséquente mais également télécharger deux applications obligatoires : Hayya et Ehteraz, la première étant l’application officielle de la Coupe du monde et la seconde l’application utilisée dans la lutte contre la propagation de la Covid-19. Il est important de rappeler que les licences de ces deux applications appartiennent aux autorités qataries. 

 

Source : app store.

 

La CNIL alerte sur le risque de vol de données 

La Commission nationale de l’informatique et des libertés (CNIL) s’est confiée au média Politico concernant le risque de vol de données à travers ces deux applications. L’autorité française a interpellé l’ensemble des supporters se rendant au Qatar en les prévenant de ce risque. Selon les experts de la CNIL, il serait préférable d’y voyager avec un téléphone vierge ou un nouveau téléphone, de ne télécharger les applications requises qu’une fois sur place et de bien les supprimer dès son retour en France. Le porte-parole de la CNIL a également insisté sur le fait qu’une « attention particulière doit être portée aux œuvres numériques qui pourraient vous mettre en difficulté par rapport à la législation du pays visité ». Il est donc indispensable pour les supporters de supprimer toute donnée relative à la communauté LGBT+, aux droits des travailleurs ou à la politique du Qatar avant d’entrer sur le territoire de l’émir Al-Thani. 

Les propos de la CNIL sont également partagés par le responsable de la sécurité du groupe audiovisuel norvégien NRK : « Ce n’est pas mon travail de donner des conseils de voyage mais personnellement je n’apporterais pas mon téléphone portable lors d’une visite au Qatar ». Plusieurs experts de la CNIL et de NRK ont donc analysé ces deux applications. Concernant Ehteraz (lutte contre la Covid-19), l’application requiert certains accès sur le fonctionnement du téléphone, comme la possibilité de supprimer ou de modifier son contenu, l’accès pour se connecter au Wifi et au Bluetooth, la possibilité de remplacer certaines applications ou encore la possibilité de l’empêcher de s’éteindre lorsqu’il est en mode veille. L’application Hayya (application officielle de la Coupe du monde), qui demande l’accès pour partager les informations du téléphone, permet également d’obtenir sa localisation exacte, l’empêche de se mettre en mode veille et permet de visualiser ses connexions. Le responsable de NRK conclut en affirmant : « Ils peuvent simplement changer le contenu de l’ensemble de votre téléphone et avoir un contrôle total sur les informations qui s’y trouvent »

Le ministre délégué chargé de la Transition numérique et des télécommunications, Jean Noël Barrot, rappelle à juste titre qu’en France, les applications de smartphones doivent garantir les droits fondamentaux des personnes et la protection de leurs données grâce à la RGPD. Il signale également qu’une telle réglementation n’existe pas au Qatar et que ce pays ne figure pas non plus sur la liste des pays en adéquation avec le RGPD. Il y a donc un risque considérable que les autorités qataries récupèrent les données des quelques 11 000 supporters français, mais également des personnalités publiques et privées qui vont se rendre à cette Coupe du monde.
 

Source : Carte de la protection des données dans le monde – CNIL 
 

Le Qatar déjà soupçonné de cyber-espionnage   

Si le vol potentiel des données est inquiétant, c’est également en raison du récent espionnage dont ont été victimes certaines personnalités ayant eu un discours critique à l’encontre de l’émirat qatari. Cette affaire a été révélée par les journalistes d’investigation du Sunday Times et du Bureau of Investigation Journalism. Le Qatar aurait eu recours à un groupe de hackers indiens via certains officiers de renseignement travaillant aujourd’hui dans le secteur privé. Au Royaume-Uni, Jonathan Calvert, rédacteur en chef du Sunday Times Insight a été visé. Il est à l’origine d’une enquête sur les mécanismes de corruption dans l’attribution de cet évènement. En France, l’ancien triple ballon d’or Michel Platini, ayant activement œuvré pour que la compétition se déroule au Qatar, a également été ciblé par ce groupe de hackers. Cet espionnage a eu lieu quelques jours avant son audition devant le Parquet national financier dans le cadre d’une enquête pour corruption dans l’attribution de la Coupe du monde. La sénatrice française Nathalie Goulet fût également la cible de ce cyberespionnage. Cette dernière avait affirmé que le Qatar prenait activement part au financement du terrorisme islamiste par l’intermédiaire de la Doha Bank et de la Al Rayan Bank (toutes deux contrôlées par les autorités qataries). D’autres personnalités ont également été ciblées, comme l’avocat Mark Somos, qui avait déposé une plainte contre la famille royale auprès du Conseil des droits de l’Homme des Nations unies, ou encore le journaliste français de Médiapart Yann Philippin, à l’origine d’une enquête sur la corruption qatarie dans le cadre de l’attribution du mondial. Si le Qatar assumait officiellement ce cyberespionnage, ce serait alors une atteinte directe à la souveraineté politique française. 

Le Qatar n’aurait donc pas hésité à recourir à des hackers pour espionner quiconque ayant critiqué l’attribution de cette Coupe du monde. Partant de cette suspicion, on peut également croire que l’émirat n’hésitera pas à analyser l’ensemble des données collectées grâce à ses deux applications. Le Qatar se lancerait donc dans une vaste entreprise de cybersurveillance de tous ceux qui auraient tenu des avis critiques vis-à-vis de leur politique.  Compte tenu de la volonté qatarie de s’affirmer comme une cyberpuissance et de l’essor exponentiel de ce marché (un milliard de dollars en 2022 et une prévision de 1,6 milliard de dollar en 2026), il est nécessaire que les différentes entreprises et hommes politiques français prennent la mesure de ce risque grandissant lorsque des partenariats avec le Qatar sont étudiés. 

 

Alex Forner pour le club Risques de l’AEGE

 

Pour aller plus loin :