My2022, une application pour les JO qui fait polémique

Les Jeux olympiques d’hiver de Pékin commencent le 4 février prochain. La compétition doit se dérouler sur fond de crise sanitaire et donc de respect des règles sanitaires et les participants sont pour cela tenus d’installer l’application officielle appelée My2022 sur leur smartphone.

Mais l’application chiffre les données de manière inadéquate, selon un rapport de Citizen Lab, auquel la Deutsche Welle a pu avoir accès en exclusivité. Selon ce document, l’application expose les athlètes, les journalistes et les officiels à de sérieux risques de piratage.

Suivi des contacts et bien plus encore

L’application My2022 développée en Chine est en fait destinée à surveiller la santé des participants aux JO et à suivre les contacts en cas de tests corona positifs.

Non seulement les données de passeport doivent être saisies dans l’application, mais également des informations médicales très privées et sensibles. Par exemple, si vous avez récemment souffert de symptômes de la Covid-19 tels que fièvre, fatigue, maux de tête, toux sèche, diarrhée ou mal de gorge. Si vous venez de l’étranger, vous devez commencer à saisir vos données de santé 14 jours avant d’entrer dans le pays.

La recherche des contacts basée sur des applications est considérée comme un moyen moderne de lutter contre la pandémie de COVID-19 dans de nombreux pays. Mais l’application chinoise My2022 permet plus qu’un simple suivi des contacts : elle réglemente également les autorisations d’accès aux événements olympiques, offre des informations détaillées aux visiteurs sur le programme et l’organisation des JO, propose des services touristiques aux visiteurs et contient même des fonctions de chat (texte et audio), flux d’actualités et transferts de fichiers pour les utilisateurs.

Ou, comme le précise la description dans l’App Store d’Apple : l’application offre la possibilité d’ajuster les paramètres pour différents types d’utilisateurs « afin de profiter des Jeux Olympiques via une seule application ».

Transmission de données non sécurisées

La vulnérabilité de l’application a été découverte par des chercheurs du Citizen Lab, qui étudient la sécurité numérique autour des questions de droits de l’homme et qui sont affiliés à la Munk School of Global Affairs de l’Université de Toronto. Citizen Lab a déjà contibué à la découverte du logiciel espion Pegasus.

Ce sont surtout les certificats SSL qui sont mis en cause. Elles visent à garantir que le trafic de données ne communique qu’entre des appareils et des serveurs dignes de confiance : selon le rapport du Citizen Lab, leur validité n’est pas vérifiée. Ce manque de validation des certificats SSL représente une grave faille de sécurité. Cela peut amener l’application à communiquer avec un ordinateur malveillant, pouvant faciliter le piratage de données.

Jeffrey Knockel de Citizen Lab a non seulement trouvé cette faille de sécurité en ce qui concerne les données de santé, mais aussi dans d’autres services importants de l’application. Cela s’applique également au service d’application, qui traite toutes les pièces jointes et les messages vocaux.

L’expert informatique a également découvert que le trafic de données dans l’application n’est pas du tout crypté pour certains services. De cette façon, les métadonnées du propre service de chat de l’application peuvent être lues très facilement.

La liste de censure soulève des questions

Les chercheurs en informatique ont également découvert un petit fichier texte appelé illegalwords.txt. Il répertorie 2 442 termes et expressions, principalement du chinois écrit utilisé en République populaire de Chine, mais aussi certains termes du ouïghour, du tibétain, du chinois écrit utilisé à Taiwan et à Hong Kong et de l’anglais.

L’application contient par ailleurs une fonction de signalement dans laquelle les utilisateurs de l’application peuvent signaler d’autres utilisateurs s’ils considèrent qu’un message de chat est dangereux ou douteux. Les motifs de signalement possibles incluent également l’option « contenu politiquement sensible », qui en Chine est généralement utilisée pour décrire des sujets politiquement censurés.

Pas de réaction du comité d’organisation chinois

Début décembre 2021, le Citizen Lab a communiqué les résultats de manière confidentielle au comité d’organisation chinois. Comme d’habitude lors du signalement de vulnérabilité de sécurité, Citizen Lab a demandé aux organisateurs olympiques chinois de procéder à des corrections dans les 45 jours avant la publication du rapport.

Entre-temps, certaines mises à jour de l’application ont été publiées dans les magasins d’applications Apple et Google. Cependant, une vérification par les chercheurs en sécurité de Citizen Lab, effectuée le 17 janvier 2022, n’a trouvé aucun changement dans la liste de censure et les vulnérabilités mentionnées.

dw

17 Commentaires
  1. Nbxayo 3 mois ago

    ivermectin brand name – candesartan 16mg brand buy generic tegretol 400mg

  2. Iumlur 3 mois ago

    order accutane 20mg for sale – cheap zyvox linezolid pill

  3. Vejqri 2 mois ago

    purchase zithromax for sale – order zithromax 250mg online nebivolol 20mg usa

  4. Fxtorv 2 mois ago

    prednisolone 20mg over the counter – omnacortil buy online prometrium 100mg ca

  5. Hnkgci 2 mois ago

    buy neurontin tablets – buy sporanox 100mg sale sporanox buy online

  6. Wnrxfm 2 mois ago

    buy furosemide 100mg generic – buy lasix 40mg pill order betnovate online

  7. Rplbrr 2 mois ago

    order monodox pills – acticlate brand glipizide over the counter

  8. Mecfgv 2 mois ago

    augmentin 1000mg price – buy duloxetine 20mg without prescription cymbalta cost

  9. Dedswe 1 mois ago

    purchase amoxiclav – purchase ketoconazole generic order duloxetine online

  10. Syarfm 1 mois ago

    buy rybelsus no prescription – order levitra sale cyproheptadine cost

  11. Cgsekt 1 mois ago

    order tizanidine pills – buy plaquenil 200mg generic order generic hydrochlorothiazide 25 mg

  12. Hyznzi 4 semaines ago

    viagra 25mg for sale – overnight delivery for cialis cialis daily cost

  13. Tbsiec 3 semaines ago

    buy cheap generic cenforce – order glucophage 1000mg online buy glucophage no prescription

  14. Dsergl 3 semaines ago

    buy generic lipitor over the counter – order prinivil order lisinopril generic

  15. Jsengm 2 semaines ago

    prilosec to treat stomach – order metoprolol without prescription where to buy tenormin without a prescription

  16. Gogzof 1 semaine ago

    buy methylprednisolone without a prescription – buy aristocort 10mg generic order triamcinolone 10mg without prescription

  17. Juiqes 7 jours ago

    generic clarinex 5mg – purchase desloratadine online cheap buy dapoxetine online cheap

Laisser un Commentaire

Votre adresse de messagerie ne sera pas publiée.

You may like