Le gouvernement américain, qui a imposé des sanctions à Huawei, a-t-il intégré le SDK de Huawei dans l’application officielle de la Maison-Blanche ?
TechFlow SélectionTechFlow Sélection
Le gouvernement américain, qui a imposé des sanctions à Huawei, a-t-il intégré le SDK de Huawei dans l’application officielle de la Maison-Blanche ?
Le gouvernement américain interdit aux entreprises nationales de faire des affaires avec Huawei pour des raisons de sécurité nationale, mais l’application officielle du président américain contient toutefois du code de Huawei.
Dédié à des analyses Web3 approfondiesAuteur : TechFlow
Le 27 mars, l’administration Trump a lancé une application officielle d’actualités, présentée comme un moyen pour les utilisateurs de recevoir directement, « sans filtre », les informations provenant de la Maison-Blanche.
Mais dans les 48 heures suivant sa sortie, plusieurs audits de sécurité indépendants ont révélé un fait hautement ironique : le package d’installation de cette application contient un composant de suivi développé par Huawei — une entreprise chinoise que le gouvernement américain a elle-même placée sur sa liste noire des sanctions pour motif de sécurité nationale.
En outre, l’application exige une série d’autorisations système largement disproportionnées par rapport aux fonctionnalités attendues d’une simple application d’actualités : géolocalisation GPS précise, reconnaissance biométrique par empreinte digitale, démarrage automatique au lancement du système, etc. La plateforme X (anciennement Twitter) a rapidement ajouté une mention communautaire d’avertissement à la publication officielle de promotion de l’application.
Pourquoi une application destinée à diffuser des communiqués de presse et des retransmissions en direct du président aurait-elle besoin d’accéder à vos empreintes digitales ?
Après avoir procédé à une analyse inversée de l’application de la Maison-Blanche (version 47.0.1), le chercheur en sécurité Sam Bent a effectué un balayage via Exodus Privacy. Ce dernier est une plateforme open source dédiée à l’audit de la confidentialité des applications Android, spécialisée dans la détection des traceurs intégrés et des demandes d’autorisations ; elle est largement utilisée au sein de la communauté de recherche en matière de vie privée. Le scan a révélé la présence de trois traceurs dans l’application de la Maison-Blanche, dont l’un est Huawei Mobile Services Core (composant central des services mobiles Huawei).
IBTimes a ensuite publié un reportage indépendant confirmant cette découverte, tandis que l’analyste juridique mitchthelawyer a également publié sur Substack un article validant les conclusions du rapport d’Exodus. Trois sources indépendantes convergent donc vers un même constat : l’application officielle de la Maison-Blanche intègre bel et bien du code issu d’un SDK Huawei.
Il convient de préciser que Huawei Mobile Services Core est en soi un SDK de notification et d’analyse fourni par Huawei pour l’écosystème mondial Android ; de nombreuses applications destinées aux marchés internationaux l’intègrent afin d’assurer leur compatibilité avec les smartphones Huawei.
Le simple fait qu’il soit présent dans le package d’installation ne signifie pas nécessairement qu’il transmet activement des données à Huawei. Toutefois, le problème réside dans le fait suivant :
Le gouvernement américain interdit, sous prétexte de sécurité nationale, à ses entreprises de collaborer avec Huawei — et pourtant, l’application officielle du président américain contient du code Huawei. Un commentaire très pertinent sur Hacker News souligne que cela résulte probablement d’une configuration par défaut adoptée par un sous-traitant, et que les décideurs de la Maison-Blanche ignorent vraisemblablement totalement l’existence de ce SDK Huawei. « Cela pourrait toutefois être encore plus inquiétant que si son intégration avait été intentionnelle. »
Une liste d’autorisations digne d’un outil système, mais une politique de confidentialité figée depuis un an
Les autorisations demandées par l’application de la Maison-Blanche comprennent notamment : géolocalisation GPS précise, reconnaissance biométrique par empreinte digitale, lecture/écriture du stockage, démarrage automatique au lancement du système, affichage de fenêtres flottantes superposées à d’autres applications, numérisation des réseaux Wi-Fi, ainsi que lecture des badges de notification. À titre de comparaison, l’application AP News, qui propose des services similaires (diffusion d’actualités et alertes en cas de catastrophe), requiert bien moins d’autorisations.
IBTimes rapporte que les développeurs de l’application ont eux-mêmes reconnu que le plugin technique censé supprimer les autorisations liées à la localisation « n’a visiblement supprimé aucun code connexe ».
Le problème le plus grave concerne toutefois la politique de confidentialité. Selon IBTimes et l’article publié par mitchthelawyer sur Substack, la politique de confidentialité applicable à l’application de la Maison-Blanche a été mise à jour pour la dernière fois le 20 janvier 2025 — soit exactement un an avant le lancement de l’application. Ce texte ne couvre que les visites de sites web, les abonnements par courriel et les pages de médias sociaux, sans faire la moindre mention des applications mobiles, du suivi géographique, de la collecte de données de localisation ou de l’accès aux données biométriques. Lorsque les utilisateurs cliquent sur « Accepter », ils donnent leur accord à un document qui ne traite absolument pas des comportements réels de l’application.
Intégration de slogans de propagande et d’un bouton de dénonciation en matière d’immigration
L’application inclut un bouton intitulé « Envoyer un message au président ». En cliquant dessus, la zone de saisie du message se remplit automatiquement avec la phrase suivante : « Greatest President Ever ! » (« Le plus grand président de tous les temps ! »). Si l’utilisateur choisit d’envoyer ce message, le système recueille alors son nom et son numéro de téléphone.
Par ailleurs, l’application intègre également un bouton de dénonciation ICE. ICE désigne l’Agence américaine de l’immigration et des douanes (Immigration and Customs Enforcement), chargée des opérations d’application de la loi relative à l’immigration et des expulsions. En cliquant sur ce bouton, l’utilisateur est redirigé directement vers la page officielle de dénonciation anonyme d’ICE, où il peut signaler toute personne soupçonnée d’être en situation irrégulière sur le territoire américain.
Ainsi, un outil présenté comme un simple canal officiel de diffusion d’informations gouvernementales remplit simultanément deux fonctions : celle de véhicule de propagande politique et celle de point de collecte de données à des fins de dénonciation dans le domaine de l’immigration. Moins de deux jours après son lancement, les utilisateurs de la plateforme X ont apposé une « note communautaire » (Community Note) sur la publication officielle de promotion de l’application, afin d’alerter les autres utilisateurs sur les risques pour la vie privée.
Un phénomène qui dépasse la Maison-Blanche : l’application du FBI diffuse des publicités, celle de la FEMA demande 28 autorisations
Dans la même enquête, Sam Bent a soumis plusieurs applications fédérales à un audit Exodus, révélant que l’application de la Maison-Blanche n’est en rien un cas isolé.
L’application officielle du FBI, « myFBI Dashboard », demande 12 autorisations et intègre 4 traceurs, dont Google AdMob — un SDK dédié à la diffusion de publicités ciblées. Une application officielle d’une agence fédérale chargée de l’application de la loi lit les identifiants des téléphones des utilisateurs tout en diffusant des publicités ciblées.
L’application de la FEMA (Federal Emergency Management Agency, Agence fédérale de gestion des urgences) demande 28 autorisations, alors que ses fonctionnalités principales se limitent à l’affichage des alertes météorologiques et des emplacements des refuges.
L’application de contrôle des passeports de la CBP (Customs and Border Protection, Service des douanes et de la protection des frontières) demande 14 autorisations, dont 7 sont classées comme « autorisations dangereuses », notamment le suivi de la localisation en arrière-plan (c’est-à-dire même lorsque l’application est fermée) et l’accès complet à la lecture/écriture du stockage. Par ailleurs, l’ensemble de l’écosystème d’applications de la CBP conserve les données biométriques faciales recueillies pendant 75 ans, et partage ces données avec le Département de la sécurité intérieure, ICE et le FBI.
À un niveau plus fondamental, concernant l’acquisition de données, le Département de la sécurité intérieure, le FBI, le Département de la Défense et l’Agence antidrogue (DEA) achètent quotidiennement, via des courtiers commerciaux de données tels que Venntel, plus de 15 milliards de points de localisation, couvrant plus de 250 millions d’appareils — et ce, sans mandat judiciaire. Cette pratique contourne en réalité la protection de la vie privée relative aux données de localisation issues des téléphones mobiles, telle que définie par l’arrêt de la Cour suprême américaine rendu en 2018 dans l’affaire Carpenter v. United States.
Plusieurs commentateurs sur Hacker News résument ainsi la logique commune à toutes ces applications : le gouvernement transforme en application native des contenus publics qui auraient pu être diffusés tout aussi efficacement via des pages web ou des flux RSS, et ce, uniquement afin d’obtenir des autorisations systèmes non accessibles depuis un navigateur web — notamment le suivi de localisation en arrière-plan, la reconnaissance biométrique, la lecture de l’identité de l’appareil et le démarrage automatique au lancement du système.
Un rapport de la Government Accountability Office (GAO, Bureau de responsabilité gouvernementale) publié en 2023 indique que, parmi les 236 recommandations relatives à la confidentialité et à la sécurité émises depuis 2010, près de 60 % n’ont toujours pas été mises en œuvre. Le Congrès a été invité à deux reprises à adopter une loi globale sur la confidentialité sur Internet — sans qu’aucune mesure n’ait été prise à ce jour.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
