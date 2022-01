Les Jeux olympiques d'hiver de Pékin commencent le 4 février prochain. La compétition doit se dérouler sur fond de crise sanitaire et donc de respect des règles sanitaires et les participants sont pour cela tenus d'installer l'application officielle appelée My2022 sur leur smartphone.

Mais l'application chiffre les données de manière inadéquate, selon un rapport de Citizen Lab, auquel la Deutsche Welle a pu avoir accès en exclusivité. Selon ce document, l'application expose les athlètes, les journalistes et les officiels à de sérieux risques de piratage.

Suivi des contacts et bien plus encore

L'application My2022 développée en Chine est en fait destinée à surveiller la santé des participants aux JO et à suivre les contacts en cas de tests corona positifs.

Non seulement les données de passeport doivent être saisies dans l'application, mais également des informations médicales très privées et sensibles. Par exemple, si vous avez récemment souffert de symptômes de la Covid-19 tels que fièvre, fatigue, maux de tête, toux sèche, diarrhée ou mal de gorge. Si vous venez de l'étranger, vous devez commencer à saisir vos données de santé 14 jours avant d'entrer dans le pays.

La recherche des contacts basée sur des applications est considérée comme un moyen moderne de lutter contre la pandémie de COVID-19 dans de nombreux pays. Mais l'application chinoise My2022 permet plus qu'un simple suivi des contacts : elle réglemente également les autorisations d'accès aux événements olympiques, offre des informations détaillées aux visiteurs sur le programme et l'organisation des JO, propose des services touristiques aux visiteurs et contient même des fonctions de chat (texte et audio), flux d'actualités et transferts de fichiers pour les utilisateurs.

Ou, comme le précise la description dans l'App Store d'Apple : l'application offre la possibilité d'ajuster les paramètres pour différents types d'utilisateurs "afin de profiter des Jeux Olympiques via une seule application".

Transmission de données non sécurisées

La vulnérabilité de l'application a été découverte par des chercheurs du Citizen Lab, qui étudient la sécurité numérique autour des questions de droits de l'homme et qui sont affiliés à la Munk School of Global Affairs de l'Université de Toronto. Citizen Lab a déjà contibué à la découverte du logiciel espion Pegasus.

Ce sont surtout les certificats SSL qui sont mis en cause. Elles visent à garantir que le trafic de données ne communique qu'entre des appareils et des serveurs dignes de confiance : selon le rapport du Citizen Lab, leur validité n'est pas vérifiée. Ce manque de validation des certificats SSL représente une grave faille de sécurité. Cela peut amener l'application à communiquer avec un ordinateur malveillant, pouvant faciliter le piratage de données.

Jeffrey Knockel de Citizen Lab a non seulement trouvé cette faille de sécurité en ce qui concerne les données de santé, mais aussi dans d'autres services importants de l'application. Cela s'applique également au service d'application, qui traite toutes les pièces jointes et les messages vocaux.

L'expert informatique a également découvert que le trafic de données dans l'application n'est pas du tout crypté pour certains services. De cette façon, les métadonnées du propre service de chat de l'application peuvent être lues très facilement.

La liste de censure soulève des questions

Les chercheurs en informatique ont également découvert un petit fichier texte appelé illegalwords.txt. Il répertorie 2 442 termes et expressions, principalement du chinois écrit utilisé en République populaire de Chine, mais aussi certains termes du ouïghour, du tibétain, du chinois écrit utilisé à Taiwan et à Hong Kong et de l'anglais.

L'application contient par ailleurs une fonction de signalement dans laquelle les utilisateurs de l'application peuvent signaler d'autres utilisateurs s'ils considèrent qu'un message de chat est dangereux ou douteux. Les motifs de signalement possibles incluent également l'option "contenu politiquement sensible", qui en Chine est généralement utilisée pour décrire des sujets politiquement censurés.

Pas de réaction du comité d'organisation chinois

Début décembre 2021, le Citizen Lab a communiqué les résultats de manière confidentielle au comité d'organisation chinois. Comme d'habitude lors du signalement de vulnérabilité de sécurité, Citizen Lab a demandé aux organisateurs olympiques chinois de procéder à des corrections dans les 45 jours avant la publication du rapport.

Entre-temps, certaines mises à jour de l'application ont été publiées dans les magasins d'applications Apple et Google. Cependant, une vérification par les chercheurs en sécurité de Citizen Lab, effectuée le 17 janvier 2022, n'a trouvé aucun changement dans la liste de censure et les vulnérabilités mentionnées.