My2022, application mobile ou logiciel espion ?

Un laboratoire de recherche canadien, Citizen Lab a identifié des failles de sécurité dans l’application My2022 que doivent télécharger tous les participants aux Jeux olympiques d’hiver de Pékin. Cette application mobile qui contient les informations personnelles des participants, fournit également toutes les informations sur les Jeux. Elle pourrait être corrompue.

Une information que dément le CIO, mais qui renforce l’idée selon laquelle, les participants aux Jeux pourraient être espionnés par les autorités chinoises.

 

Les États-Unis ont rejoint la Grande-Bretagne, le Canada et les Pays-Bas dans la liste des pays qui conseillent à leurs ressortissants de prendre des précautions pour éviter d’être victime de surveillance technologique lors de leur séjour en Chine.

Plusieurs comités olympiques invitent leurs athlètes et accompagnateurs à utiliser des téléphones à carte prépayée plutôt qu’apporter leurs appareils personnels en Chine. Ces comités craignent une surveillance, voire le piratage par des logiciels malveillants. Cela pourrait avoir un impact négatif sur leur utilisation future.

 

Et voilà maintenant qu’un laboratoire canadien, Citizen Lab brise le silence après avoir demandé des comptes aux autorités chinoises. Il n’a pas obtenu de réponse à ses questions concernant l’application My2022.

 

Ce laboratoire qui dépend de l’Université de Toronto a observé en effet que l’application que doivent télécharger tous les accrédités qui se rendent à Pékin présenterait deux défauts.

 

Cette application permet en effet de recueillir des données personnelles telles que le numéro de passeport, l’organisation et le pays d’origine, ainsi que le statut vaccinal et les résultats de tests Covid-19. Par ailleurs, l’application fournit un service d’information sur les Jeux olympiques et paralympiques d’hiver de Pékin 2022.

 

Citizen Lab indique avoir informé les autorités chinoises de failles début décembre. Le laboratoire leur demandait d’y répondre sous 15 jours et d’y remédier sous 45. Au delà du délai fixé par le laboratoire, Pékin n’a toujours pas donné suite à cette demande. Aujourd’hui Citizen Lab rend l’affaire publique.

Quels seraient les défauts de l’application ?

Le premier défaut porte sur les certificats dits SSL, qui permettent à deux entités de communiquer en ligne de façon sécurisée.
D’après Citizen Lab, My2022 n’authentifie pas les certificats SSL qui lui sont soumis, ce qui signifie que des entités non reconnues pourraient avoir accès aux données de l’application.

La seconde faille tient au fait que certaines informations sont transmises sans chiffrement propre, ce qui les rend plus vulnérables à un détournement.

« La Chine est connue pour avoir sapé les technologies de chiffrement afin de pratiquer la censure politique et la surveillance », souligne l’auteur de l’étude, Jeffrey Knockel. « Dès lors, il est raisonnable de se demander si le chiffrement des données de cette application n’a pas été volontairement saboté à des fins de surveillance ou s’il est le fait de la négligence des développeurs ».

 

En réaction à la publication de ce rapport, le Comité international olympique (CIO) a affirmé que deux organes spécialisés en cybersécurité, sollicités par le CIO, avaient testé l’application et que leurs conclusions indiquaient que l’application ne présentait pas de « vulnérabilités cruciales ».

Toutefois, le CIO insiste sur le fait qu’il n’était pas obligatoire pour les participants aux Jeux de télécharger My2022. L’application peut être consulté depuis une page internet. « My2022 est un outil important dans l’arsenal des mesures anti-Covid », a fait valoir le CIO, et « a été conçu pour assurer la sécurité sanitaire des personnes qui se trouvent dans la bulle »… Et semble t-il, pas seulement !

AUCUN COMMENTAIRE

POSTER UN COMMENTAIRE

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Verified by MonsterInsights