Le laboratoire de recherche canadien Citizen Lab a identifié plusieurs failles de sécurité dans l'application que doivent télécharger et utiliser tous les participants aux Jeux olympiques d'hiver de Pékin. Il le dévoile dans une étude publiée mardi.
Selon les conclusions de Citizen Lab, l'application MY2022, créée et gérée en vue des Jeux qui s'ouvriront le 4 février par Beijing Financial Holdings Group (BFHG), filiale de la ville de Pékin, présente deux défauts importants.
«La Chine est connue pour avoir sapé les technologies de cryptage afin de pratiquer la censure politique et la surveillance», souligne l'auteur de l'étude, Jeffrey Knockel. «Dès lors, il est raisonnable de se demander si le cryptage des données de cette application n'a pas été volontairement saboté à des fins de surveillance ou s'il est le fait de la négligence des développeurs».
Le premier défaut porte sur les certificats dits SSL, qui permettent à deux entités de communiquer en ligne de façon sécurisée. D'après Citizen Lab, qui dépend de l'université canadienne de Toronto, MY2022 n'authentifie pas les certificats SSL qui lui sont soumis, ce qui signifie que des entités non reconnues pourraient avoir accès aux données de l'application.
La seconde faille tient au fait que certaines informations sont transmises sans cryptage propre, ordinairement, aux certificats SSL, ce qui les rend plus vulnérables à un détournement. Pour les utilisateurs étrangers de la plateforme, sont recueillies des données personnelles telles que le numéro de passeport, l'organisation et le pays d'origine, ainsi que le statut vaccinal et les résultats de tests Covid-19.
Failles pointées début décembre
Citizen Lab indique avoir pointé les failles aux autorités chinoises début décembre, leur demandant de répondre sous 15 jours et d'y remédier sous 45. Mais au terme du délai fixé par le laboratoire, Pékin n'avait pas donné suite à cette demande.
Lors de ses travaux, Citizen Lab dit avoir aussi identifié un fichier intitulé «illegalwords.txt» (mots illégaux), dont beaucoup sont «sensibles politiquement», selon l'étude. On y trouve notamment les termes «CCP evil» (CCP pour Parti communiste chinois et «evil» pour mauvais), ou Xi Jinping, du nom du président chinois.
Si des lignes de code sont contenues dans l'appli pour pouvoir censurer ces termes, elles ne sont pas activées en l'état, selon Citizen Lab.
ATS