Le gouvernement américain a récemment sorti une nouvelle application mobile, promettant d’offrir aux Américains « un accès direct à la Maison-Blanche » et leur permettant de « faire abstraction du bruit ambiant grâce à des informations en temps réel, sans filtre, provenant directement de la source ». Un développeur s’est amusé à décompiler la version Android et a remarqué de nombreuses failles de sécurité. Notamment, l’app contient du code susceptible d’envoyer la position exacte de l’utilisateur à des serveurs externes toutes les 5 à 10 minutes.
Dans son billet de blog, Thereallo explique que l’application créée en React Native repose sur un backend WordPress. Elle embarque un système de WebViews pour les liens tiers. Visiblement, elle injecte au passage du CSS et du JavaScript sur les sites tiers pour supprimer les demandes de connexion, d’acceptation des cookies et même… les paywall. Une pratique intrusive, qui altère le fonctionnement normal des sites et soulève des questions juridiques comme techniques.
L’application adopte une approche particulièrement invasive au niveau du suivi. En plus de contenir du code qui peut transmettre la position de l’utilisateur à intervalles réguliers, elle semble collecter divers identifiants techniques permettant un suivi précis des comportements. Ces données, croisées avec l’activité au sein de l’app et les contenus consultés, peuvent potentiellement dresser un profil détaillé de chaque utilisateur.
De plus, l’app utilise un lecteur vidéo YouTube… trouvé sur GitHub. Une intégration problématique pour une app gouvernementale : si le compte GitHub de son développeur venait à être compromis, la personne le contrôlant pourrait envoyer du HTML et du JavaScript à tous les utilisateurs via une WebView. Un vecteur d’attaque classique, mais ici particulièrement sensible compte tenu du contexte.
Par ailleurs, les adresses e-mail sont transmises à Mailchimp, les images sont hébergées sur Uploadcare, et une intégration Truth Social est codée en dur avec des URL statiques. Autrement dit, une partie significative des services repose sur des infrastructures externes, hors du périmètre gouvernemental. Un choix qui multiplie les dépendances et les surfaces d’exposition.
Enfin, l’app ne met pas en œuvre de « certificate pinning », une sécurité pourtant standard sur Android comme sur iOS pour renforcer la confiance dans les connexions HTTPS. Sans ce mécanisme, l’application fait aveuglément confiance aux certificats du système. Résultat : un pirate sur un réseau Wi-Fi public pourrait s'interposer entre l'utilisateur et le serveur pour intercepter des données privées ou injecter de fausses informations directement dans l'interface.
