TORONTO — Des chercheurs d’un laboratoire technologique de Toronto ont découvert des failles de sécurité et des cadres de censure dans une application que tous les participants aux Jeux olympiques de Pékin 2022 doivent utiliser.

Le Citizen Lab, un institut de recherche de la Munk School of Global Affairs and Public Policy de l’Université de Toronto qui étudie les logiciels espions, a découvert une faille « simple mais dévastatrice » dans l’application MY2022 qui rend les fichiers audio, les formulaires sanitaires et douaniers transmettant les détails du passeport, ainsi que l’historique médical et de voyage, vulnérables aux pirates.

Le chercheur Jeffrey Knockel a découvert que MY2022 ne valide pas certains certificats SSL, une infrastructure numérique qui utilise le cryptage pour sécuriser les applications et garantir qu’aucune personne non autorisée ne puisse accéder aux informations lors de leur transmission.

Ce défaut de validation signifie que l’application peut être trompée et se connecter à des hôtes malveillants qu’elle considère comme étant de confiance, ce qui permet d’intercepter les informations que l’application transmet aux serveurs et aux attaquants d’afficher de fausses instructions aux utilisateurs.

« Le pire scénario est que quelqu’un intercepte tout le trafic et enregistre tous les détails du passeport, tous les détails médicaux », a déclaré Knockel, un associé de recherche, qui a enquêté sur l’application après qu’un journaliste curieux de ses fonctions de sécurité l’ait approché.

Les organisateurs des Jeux olympiques ont demandé à tous les participants aux Jeux, y compris les athlètes, les spectateurs et les membres des médias, de télécharger et de commencer à utiliser l’application MY2022 pour soumettre des informations sanitaires et douanières, comme les résultats du test COVID-19 et le statut vaccinal, au moins 14 jours avant leur arrivée en Chine.

L’application d’une entreprise d’État appelée Beijing Financial Holdings Group offre également une navigation GPS et des fonctions de chat texte, vidéo et audio, ainsi que la possibilité de transférer des fichiers et de fournir des informations et des mises à jour météorologiques.

Knockel a constaté qu’il n’est pas clair avec qui l’application partage des informations médicales hautement sensibles.

Le livre de jeu olympique indique que les données personnelles telles que les informations biographiques et les données relatives à la santé peuvent être traitées par Beijing 2022, les comités internationaux olympiques et paralympiques, les autorités chinoises et « d’autres personnes impliquées dans la mise en œuvre des contre-mesures (COVID-19). »

Knockel dit que Pékin 2022 décrit plusieurs scénarios dans lesquels il divulguera des informations personnelles sans le consentement de l’utilisateur, ce qui inclut, sans s’y limiter, les questions de sécurité nationale, les incidents de santé publique et les enquêtes criminelles.

Cependant, l’application ne précise pas si des ordonnances judiciaires seront nécessaires pour avoir accès à ces informations et qui pourra recevoir des données.

Le dernier problème découvert par Knockel est que l’application permet aux utilisateurs de signaler des contenus « politiquement sensibles » et qu’elle dispose d’une liste de mots-clés de censure.

La liste comprend 2 442 termes politiques, dont certains liés aux tensions au Xinjiang et au Tibet, ainsi que des références aux agences gouvernementales chinoises. La liste comprend des expressions chinoises se traduisant par « les Juifs sont des porcs » et « les Chinois sont tous des chiens », des termes ouïghours pour « le Saint Coran » et des mots tibétains faisant référence au Dalaï Lama.

Knockel n’a pas pu trouver de preuves que la liste était utilisée par l’application.

« Nous ne savons pas s’ils voulaient qu’elle soit inactive ou active, mais dans tous les cas, c’est quelque chose qui…. peut être activé par une simple pression sur un bouton », a déclaré Knockel.

Le Citizen Lab a révélé les problèmes qu’il a trouvés dans MY2022 aux comités d’organisation le 3 décembre, leur donnant 15 jours pour répondre et 45 jours pour résoudre les problèmes, avant de les rendre publics.

Une nouvelle version de MY2022 pour les utilisateurs d’iOS a été publiée le 6 janvier, mais Citizen Lab a déclaré qu’aucun problème n’avait été résolu avec cette mise à jour. En fait, Citizen Lab a déclaré que la mise à jour a introduit une nouvelle fonctionnalité « Code de santé vert » qui recueille plus de données médicales et est vulnérable aux attaques en raison de son manque de validation du certificat SSL.

Knockel recommande à toute personne se rendant aux Jeux olympiques de n’utiliser l’application que lorsqu’elle est connectée à des réseaux de confiance, comme un réseau privé virtuel (VPN).

Les participants aux Jeux olympiques devraient également envisager de transférer les conversations et autres actions qui ne sont pas obligatoires dans MY2022 vers d’autres applications offrant une meilleure sécurité, a-t-il ajouté.

« Mais c’est délicat », a-t-il ajouté. « Même s’ils sont conscients des failles de sécurité de l’appli, ils pourraient ne pas avoir le choix ».

Ce rapport de la Presse Canadienne a été publié pour la première fois le 18 janvier 2022.