Le gouvernement indien a proposé une refonte majeure des exigences de sécurité des smartphones dans le cadre des « Exigences indiennes d'assurance de sécurité des télécommunications ». Ce projet comprend un ensemble de 83 normes de sécurité censées renforcer la protection des données des utilisateurs face à la recrudescence des fraudes en ligne et des cybermenaces sur le vaste marché des smartphones du pays.
Les géants de la technologie comme Apple et Samsung s'opposent à cette initiative , affirmant que ce dispositif est sans dent et pourrait révéler des informations confidentielles et des secrets commerciaux, notamment le code source, qu'Apple protège farouchement et qu'elle a par le passé refusé de partager avec des pays comme les États-Unis et la Chine.
Le pays affirme toutefois que ces demandes s'inscrivent dans la stratégie plus large du Premier ministre Narendra Modi visant à renforcer la cybersécurité en Inde, qui est le deuxième marché mondial des smartphones.
Le gouvernement indien formule des exigences à l'égard des fabricants de téléphones
Vous trouverez ci-dessous une liste de certaines exigences de sécurité que l'Inde propose aux fabricants de smartphones comme Apple et Samsung, ce qui a suscité une opposition en coulisses de la part des entreprises technologiques.
- La divulgation du code source oblige les fabricants non seulement à tester, mais aussi à fournir le code source propriétaire pour examen par des laboratoires désignés par le gouvernement, ce qui devrait permettre d'dentles vulnérabilités des systèmes d'exploitation des téléphones susceptibles d'être exploitées par des attaquants.
- Des restrictions d'autorisation en arrière-plan empêchent les applications d'accéder aux caméras, aux microphones ou aux services de localisation lorsque le téléphone est inactif, et une notification continue dans la barre d'état est requise lorsque ces autorisations sont actives
- Des alertes de vérification des autorisations qui exigent que les appareils affichent périodiquement des avertissements invitant les utilisateurs à vérifier toutes les autorisations des applications, avec des notifications continues.
- Conservation des journaux pendant un an, ce qui oblige les appareils à stocker les journaux d'audit de sécurité, y compris les installations d'applications et les journaux système, pendant une durée maximale de 12 mois.
- Analyse périodique des logiciels malveillants : les téléphones doivent être analysés périodiquement à la recherche de logiciels malveillants etdenttoute application potentiellement dangereuse.
- Possibilité de supprimer les applications préinstallées fournies avec le système d'exploitation du téléphone, à l'exception de celles essentielles au fonctionnement de base du téléphone.
- Informer un organisme gouvernemental avant de publier toute mise à jour majeure ou tout correctif de sécurité.
- Des avertissements de détection de falsification qui repèrent les téléphones rootés ou « jailbreakés » et affichent des bannières d'avertissement continues pour recommander des mesures correctives.
- Protection anti-retour en arrière qui bloque définitivement l'installation d'anciennes versions logicielles, même si elles sont officiellement signées par le fabricant, afin d'empêcher les rétrogradations de sécurité.
Que pensent les entreprises technologiques des exigences
Le gouvernement indien a justifié ces exigences de sécurité en affirmant qu'elles visaient à protéger ses citoyens, une mesure conforme à la politique de Narendra Modi en matière de sécurité des données. Cependant, des acteurs majeurs comme Samsung, Apple, Xiaomi et Google, représentés par la MAIT, l'association professionnelle indienne qui les représente, ont exprimé leur opposition, notamment concernant le partage du code source.
« Ce n’est pas possible… pour des raisons de confidentialité et de respect de la vie privée », a déclaré dans un dent rédigé en réponse à la proposition du gouvernement. « Les principaux pays de l’UE, d’Amérique du Nord, d’Australie et d’Afrique n’imposent pas ces exigences. »
Ils affirment qu'il n'existe aucun moyen fiable de détecter les téléphones jailbreakés ou d'empêcher toute falsification, expliquant que le système anti-retour en arrière manque de normes et que de nombreuses applications préinstallées doivent être conservées car elles constituent des composants système essentiels.
Selon une source bien informée, MAIT aurait demandé au ministère de retirer sa proposition. Les documents de l'entreprise indiquent également que l'analyse régulière des logiciels malveillants viderait considérablement la batterie d'un téléphone et qu'il serait « irréaliste » de solliciter l'approbation du gouvernement pour les mises à jour logicielles, celles-ci étant censées corriger les problèmes rapidement.
Concernant les journaux d'appels dont le gouvernement demande la conservation pendant au moins 12 mois sur les appareils, MAIT affirme que la plupart des appareils n'ont pas la capacité de stocker de tels journaux, rendant cette demande impossible à satisfaire.
En réponse aux arguments avancés par MAIT, le secrétaire aux technologies de l'information, S. Krishnan, a affirmé que toute préoccupation légitime du secteur serait abordée avec ouverture d'esprit, tout en ajoutant qu'il était « prématuré d'y voir plus clair »
Entre-temps, un porte-parole du ministère a refusé de faire d'autres commentaires, affirmant que des consultations étaient en cours avec les entreprises technologiques au sujet des propositions.
