Le gouvernement indien prévoit d'imposer aux fabricants comme Apple, Samsung et Xiaomi de transmettre le code source de leurs systèmes d'exploitation pour des audits de sécurité. Cela s'ajoute à une série de mesures démesurées visant surtout à obtenir des concessions.
New Delhi multiplie les initiatives pour avoir la mainmise sur les smartphones. Le gouvernement de Narendra Modi veut désormais obliger Apple, Samsung, Google et Xiaomi à fournir leur code source aux autorités indiennes. Un ensemble de 83 normes de sécurité, rédigées en 2023 et actuellement en phase de finalisation, prévoit que les fabricants transmettent leur code propriétaire à des laboratoires indiens afin de réaliser une évaluation complète de sécurité.
Des demandes complètement démesurées...
Le moins que l'on puisse dire, c'est que l'Inde ne fait pas dans la demi-mesure ! Si le code d'Android est déjà disponible en open source, cette nouvelle régulation imposerait à Apple de révéler tous les secrets bien conservés de son OS mobile. Mais Samsung et les autres constructeurs Android devraient eux-aussi lever le voile sur leurs développements propriétaires.
L'association industrielle indienne MAIT, qui représente les principaux fabricants, qualifie cette exigence d'impossible dans un document confidentiel consulté par Reuters. "Ce n'est pas possible en raison du secret et de la confidentialité", écrit l'organisation. Elle souligne qu'aucun grand pays de l'Union européenne, d'Amérique du Nord, d'Australie ou d'Afrique n'impose de telles contraintes.
Mais ce n'est pas tout. Le gouvernement indien veut imposer un stockage des journaux d'activité du téléphone pendant 12 mois directement sur l'appareil. MAIT répond qu'il n'y a tout simplement pas assez d'espace de stockage pour conserver ces traces numériques sur une telle période. L'association alerte aussi sur l'impact des scans automatiques périodiques de malwares, qui déchargeraient considérablement les batteries.
Et l'Inde ne s'arrête pas là. Le pays souhaite aussi obliger les constructeurs à notifier le Centre national pour la sécurité des communications indien avant chaque mise à jour logicielle majeure ou correctif de sécurité, avec possibilité pour l'État de les tester. Bien évidemment, l'industrie juge cette procédure impraticable. Les constructeurs s'acharnent à accélérer les déploiements de correctifs, ce n'est certainement pas pour être ralentis par des mesures administratives…
... pour faire plier les constructeurs
Le secrétaire à l'informatique indien S. Krishnan a tenté d'apaiser les tensions en déclarant à Reuters que "toute préoccupation légitime de l'industrie sera prise en compte avec ouverture d'esprit". Une réunion entre le ministère et les dirigeants du secteur technologique devait se tenir pour poursuivre les discussions.
Mais pour l'Inde, il s'agit surtout de contrôler chaque individu possédant un smartphone. En fin d'année dernière, nous apprenions que les autorités avaient demandé la préinstallation d'une application gouvernementale baptisée Sanchar Saathi sur tous les smartphones vendus dans le pays. Surtout, le pays souhaite activer par défaut - et masquer - le GPS sur l'ensemble des appareils afin de pouvoir géolocaliser au mètre près n'importe quel individu.
De son côté, Apple n'en est pas à son premier refus sur cette question. La société californienne avait déjà décliné une demande similaire de la Chine entre 2014 et 2016, et les autorités américaines n'ont jamais obtenu le code source d'iOS. Selon Apple, cela pourrait donner lieu à des fuites potentielles, du reverse-engineering par des concurrents ou acteurs malveillants, ou encore compromettre des fonctionnalités de sécurité comme Face ID ou le Secure Enclave.
Il n'empêche que l'Inde a de quoi faire pression. Avec près de 750 millions d'appareils en circulation, il s'agit ni plus ni moins que du second marché mondial du smartphone. L'intégralité des demandes du pays ne verra certainement pas le jour, mais dans ces négociations ne vaut-il mieux pas multiplier les demandes démesurées pour obtenir quelques concessions ? C'est exactement ce qu'avait fait la Chine, suite à quoi, pour conserver sa présence sur cet énorme marché, Apple avait finalement accepté que les données des comptes iCloud soient stockées sur des serveurs localisés en Chine et accessibles par les autorités. Rappelons au passage que l'année dernière, Apple a choisi de se plier aux demandes des autorités britanniques pour désactiver son dispositif de chiffrement d'iCloud.
