Les Jeux olympiques d’hiver de Pékin commencent le 4 février prochain. La compétition doit se dérouler sur fond de crise sanitaire et donc de respect des règles sanitaires et les participants sont pour cela tenus d’installer l’application officielle appelée My2022 sur leur smartphone.
Mais l’application chiffre les données de manière inadéquate, selon un rapport de Citizen Lab, auquel la Deutsche Welle a pu avoir accès en exclusivité. Selon ce document, l’application expose les athlètes, les journalistes et les officiels à de sérieux risques de piratage.
Suivi des contacts et bien plus encore
L’application My2022 développée en Chine est en fait destinée à surveiller la santé des participants aux JO et à suivre les contacts en cas de tests corona positifs.
Non seulement les données de passeport doivent être saisies dans l’application, mais également des informations médicales très privées et sensibles. Par exemple, si vous avez récemment souffert de symptômes de la Covid-19 tels que fièvre, fatigue, maux de tête, toux sèche, diarrhée ou mal de gorge. Si vous venez de l’étranger, vous devez commencer à saisir vos données de santé 14 jours avant d’entrer dans le pays.
La recherche des contacts basée sur des applications est considérée comme un moyen moderne de lutter contre la pandémie de COVID-19 dans de nombreux pays. Mais l’application chinoise My2022 permet plus qu’un simple suivi des contacts : elle réglemente également les autorisations d’accès aux événements olympiques, offre des informations détaillées aux visiteurs sur le programme et l’organisation des JO, propose des services touristiques aux visiteurs et contient même des fonctions de chat (texte et audio), flux d’actualités et transferts de fichiers pour les utilisateurs.
Ou, comme le précise la description dans l’App Store d’Apple : l’application offre la possibilité d’ajuster les paramètres pour différents types d’utilisateurs « afin de profiter des Jeux Olympiques via une seule application ».
Transmission de données non sécurisées
La vulnérabilité de l’application a été découverte par des chercheurs du Citizen Lab, qui étudient la sécurité numérique autour des questions de droits de l’homme et qui sont affiliés à la Munk School of Global Affairs de l’Université de Toronto. Citizen Lab a déjà contibué à la découverte du logiciel espion Pegasus.
Ce sont surtout les certificats SSL qui sont mis en cause. Elles visent à garantir que le trafic de données ne communique qu’entre des appareils et des serveurs dignes de confiance : selon le rapport du Citizen Lab, leur validité n’est pas vérifiée. Ce manque de validation des certificats SSL représente une grave faille de sécurité. Cela peut amener l’application à communiquer avec un ordinateur malveillant, pouvant faciliter le piratage de données.
Jeffrey Knockel de Citizen Lab a non seulement trouvé cette faille de sécurité en ce qui concerne les données de santé, mais aussi dans d’autres services importants de l’application. Cela s’applique également au service d’application, qui traite toutes les pièces jointes et les messages vocaux.
L’expert informatique a également découvert que le trafic de données dans l’application n’est pas du tout crypté pour certains services. De cette façon, les métadonnées du propre service de chat de l’application peuvent être lues très facilement.
La liste de censure soulève des questions
Les chercheurs en informatique ont également découvert un petit fichier texte appelé illegalwords.txt. Il répertorie 2 442 termes et expressions, principalement du chinois écrit utilisé en République populaire de Chine, mais aussi certains termes du ouïghour, du tibétain, du chinois écrit utilisé à Taiwan et à Hong Kong et de l’anglais.
L’application contient par ailleurs une fonction de signalement dans laquelle les utilisateurs de l’application peuvent signaler d’autres utilisateurs s’ils considèrent qu’un message de chat est dangereux ou douteux. Les motifs de signalement possibles incluent également l’option « contenu politiquement sensible », qui en Chine est généralement utilisée pour décrire des sujets politiquement censurés.
Pas de réaction du comité d’organisation chinois
Début décembre 2021, le Citizen Lab a communiqué les résultats de manière confidentielle au comité d’organisation chinois. Comme d’habitude lors du signalement de vulnérabilité de sécurité, Citizen Lab a demandé aux organisateurs olympiques chinois de procéder à des corrections dans les 45 jours avant la publication du rapport.
Entre-temps, certaines mises à jour de l’application ont été publiées dans les magasins d’applications Apple et Google. Cependant, une vérification par les chercheurs en sécurité de Citizen Lab, effectuée le 17 janvier 2022, n’a trouvé aucun changement dans la liste de censure et les vulnérabilités mentionnées.
dw
ivermectin brand name – candesartan 16mg brand buy generic tegretol 400mg
order accutane 20mg for sale – cheap zyvox linezolid pill
purchase zithromax for sale – order zithromax 250mg online nebivolol 20mg usa
prednisolone 20mg over the counter – omnacortil buy online prometrium 100mg ca
buy neurontin tablets – buy sporanox 100mg sale sporanox buy online
buy furosemide 100mg generic – buy lasix 40mg pill order betnovate online
order monodox pills – acticlate brand glipizide over the counter
augmentin 1000mg price – buy duloxetine 20mg without prescription cymbalta cost
purchase amoxiclav – purchase ketoconazole generic order duloxetine online
buy rybelsus no prescription – order levitra sale cyproheptadine cost
order tizanidine pills – buy plaquenil 200mg generic order generic hydrochlorothiazide 25 mg
viagra 25mg for sale – overnight delivery for cialis cialis daily cost
buy cheap generic cenforce – order glucophage 1000mg online buy glucophage no prescription
buy generic lipitor over the counter – order prinivil order lisinopril generic
prilosec to treat stomach – order metoprolol without prescription where to buy tenormin without a prescription
buy methylprednisolone without a prescription – buy aristocort 10mg generic order triamcinolone 10mg without prescription
generic clarinex 5mg – purchase desloratadine online cheap buy dapoxetine online cheap
buy generic acyclovir – order crestor generic crestor 20mg us
domperidone brand – motilium 10mg uk cyclobenzaprine 15mg uk
order domperidone generic – purchase flexeril generic order generic flexeril
buy inderal for sale – methotrexate us buy cheap generic methotrexate
warfarin canada – order generic coumadin 5mg purchase losartan online
levofloxacin 250mg oral – buy zantac 150mg sale buy zantac generic
buy nexium without a prescription – nexium 40mg cheap sumatriptan price