Le géant des télécommunications Airtel aurait injecté du JavaScript dans la session de navigation des utilisateurs indiens

Un programmeur basé à Bangalore découvre un code suspect lors de sa navigation sur le réseau 3G d’Airtel et reçoit une menace de notification de délit criminel

L’opérateur de télécommunications privé Airtel est de nouveau sous le feu des critiques, cette fois-ci de la part d’un activiste des réseaux sociaux. L’entreprise, qui a fait face à de vives critiques concernant la neutralité du net, est maintenant accusée d’envahir la vie privée de ses clients.

Dans un post Twitter daté du 3 juin, le technologue indépendant basé à Bengaluru, Thejesh G.N., a affirmé que « Airtel 3G injecte discrètement du JavaScript dans votre session de navigation. » Il a également publié une capture d’écran du code sur GitHub. Selon le post de M. Thejesh sur GitHub, l’adresse IP d’où provenait le code Java était celle de Bharti Airtel à Bengaluru.

Airtel 3G injecte du JavaScript dans votre session de navigation https://t.co/QHPpSKinve — Thejesh GN (@thej) 3 juin 2015

The Wire.in rapporte qu’une brève inspection a révélé que le code se composait de quelques lignes de JavaScript qui chargeaient un élément comme une publicité sur les pages web que visitait Thejesh. Cela s’appelait Anchor.js. En utilisant un traqueur IP basé sur le web, il a également pu constater que le code provenait de l’adresse IP 223.224.131.144 – qui appartenait à Bharti Airtel Limited.

Tout cela est très vague. Mais ce n’est que le début de cette histoire. Le 8 juin, Thejesh a reçu la lettre de menace légale la plus absurde, provenant d’un avocat nommé Ameet Mehta du cabinet d’avocats Solicis Lex. Il prétend représenter une entreprise israélienne, Flash Network, qui est apparemment responsable du logiciel d’injection de code et a affirmé qu’en révélant simplement au public qu’Airtel procédait à ces injections, Thejesh avait commis une violation criminelle du droit d’auteur en vertu de la loi sur la technologie de l’information de 2000.

Le 9 juin, l’ordre a été suivi d’un avis de retrait (en vertu de la loi américaine sur le droit d’auteur du millénaire numérique) publié sur GitHub. Après cela, les fichiers de Thejesh sont devenus inaccessibles bien qu’une version mise en cache soit disponible ici.

Donc, j’ai reçu une lettre de cessation et d’abstention pour avoir exposé l’injection de JS par un grand opérateur de télécommunications pour avoir publié du code JS et des captures d’écran. Je vais probablement le retirer 🙁 — Thejesh GN (@thej) 8 juin 2015

Vignesh Sundaresan, un développeur basé à Ottawa, a déclaré que l’injection de JavaScript est une technique très maladroite pour ajouter des fonctionnalités supplémentaires à certains programmes et « il est souvent désagréable d’être injecté sans en informer d’abord l’utilisateur ». Ainsi, Thejesh a téléchargé l’emplacement et d’autres détails du programme sur GitHub, une plateforme de collaboration sur le web pour les développeurs, pour avertir d’autres utilisateurs.

La conspiration de l’affaire découle de l’objectif de Flash Networks, qu’elle ne discute jamais dans ses avis. Dans leur ordre de cessation et d’abstention, ce que les avocats ne mentionnent pas, c’est ce que permet Anchor.js pour Flash ainsi que, et plus significativement, le réseau Airtel. Lorsque Thejesh ou tout utilisateur susceptible visite une page web sur le réseau 3G d’Airtel, Anchor.js charge une fenêtre contextuelle tierce, comme une publicité, sur cette page.

Lorsque l’utilisateur voit ou interagit avec cette fenêtre contextuelle, celui qui a créé cette fenêtre contextuelle gagne de l’argent. Dans ce cas, puisque Flash Networks, la source d’Anchor.js, est hébergée sur l’adresse IP d’Airtel, l’implication est qu’Airtel utilise Anchor.js pour gagner de l’argent pour lui-même en utilisant l’expérience de navigation de l’utilisateur. Il y a également la menace supplémentaire que Flash Networks utilise son script non vérifié pour rechercher des données utilisateur.

Cependant, puisque Thejesh n’avait pas l’intention d’utiliser commercialement Anchor.js (ni n’a exposé un code qui n’était pas déjà confidentiel), il est incertain comment le droit d’auteur de Flash a été enfreint. Pranesh Prakash, directeur des politiques au Centre pour Internet et Société, a tweeté que peu importe comment Anchor.js a nui à l’expérience de Thejesh, son acte de le télécharger sur GitHub était protégé par la section 52(1)(ac) de la loi indienne sur le droit d’auteur de 1957.

Elle stipule que « l’étude ou le test du fonctionnement du programme informatique afin de déterminer les idées et principes qui sous-tendent tout élément du programme tout en effectuant les actes nécessaires aux fonctions pour lesquelles le programme informatique a été fourni. »

L’intention de Flash Networks signale que le FAI viole la neutralité du net car un utilisateur sur le réseau 3G d’Airtel voit un site web X différemment d’un utilisateur sur, disons, BSNL, en raison de l’élément chargé par le script injecté.

Récemment, alors que le débat sur la neutralité du net montait en Inde suite à un document de politique controversé de la TRAI, Airtel Zero était au cœur des discussions. Cela impliquait qu’Airtel était payé par, disons, Facebook pour permettre aux utilisateurs d’accéder gratuitement à Facebook sur les réseaux Airtel. L’accord a violé la neutralité du net car il a déguisé le traitement préférentiel des paquets de données en fonction de leurs sources.

Sundaresan a commenté que si de tels cas douteux d’injection de JavaScript étaient découverts dans le monde occidental, l’injecteur pourrait être poursuivi pour des millions.

Airtel a depuis publié une déclaration sur la question, affirmant que l’injection de JavaScript était un moyen pour elle de suivre la quantité de données consommées par l’abonné, à des fins de facturation, et a qualifié cela de « solution standard déployée par les opérateurs de télécommunications dans le monde entier ». En même temps, la déclaration n’explique pas pourquoi l’opération plaçait des publicités sur les pages de destination de l’utilisateur.

En fait, Airtel s’est également distancié de l’ordre émis par Flash Networks à Thejesh : « Nous … déclarons catégoriquement que nous n’avons aucune relation, quelle qu’elle soit, avec l’avis. » Néanmoins, le fait que les deux entreprises soient et aient été associées l’une à l’autre est trahi par l’un des communiqués de presse de Flash de 2014 qui inclut Airtel et Vodafone parmi ses clients.

Si l’implication du FAI est plus convaincante, il est probable qu’il fasse face à des poursuites judiciaires pour violation de la vie privée des utilisateurs, car le script aurait également pu être injecté lorsque les gens ont consulté le site web de Thejesh via le réseau d’Airtel, le FAI étant également responsable d’avoir déformé son contenu pour son public.

Il est également apparu depuis la divulgation de Thejesh que Vodafone pourrait également s’engager dans des insertions similaires de logiciels tiers dans les navigateurs.

Pour ceux qui soutiennent que le droit d’auteur n’est jamais utilisé pour la censure : expliquez cette histoire. Bien sûr, tout cela semble se retourner contre eux de manière significative. Flash a peut-être voulu cacher ce qu’ils faisaient, mais maintenant cela attire beaucoup, beaucoup, beaucoup plus d’attention. Peut-être que, la prochaine fois, plutôt que de menacer les lanceurs d’alerte de vos mauvaises pratiques avec des allégations de violation criminelle du droit d’auteur, Flash et Airtel réfléchiront davantage à leurs propres pratiques commerciales déplorables qui mettent les utilisateurs en danger.