Le laboratoire de recherche Citizen Lab a découvert deux vulnérabilités dans l’application que tous les participants doivent utiliser.
En pleine pandémie de Covid-19, la Chine a prévu de surveiller la santé des participants lors des Jeux olympiques d’hiver qui débuteront le 4 février prochain. Pour cela, elle impose le téléchargement de MY2022, une application mobile permettant de communiquer les données de santé et de voyage (informations du passeport, antécédents médicaux…). Ces renseignements ne sont pas bien protégés selon le laboratoire de recherche Citizen Lab, qui explique avoir découvert deux failles de sécurité dans un rapport.
Tout d’abord, MY2022 ne parvient pas à valider les certificats SSL utilisés pour authentifier l’identité du serveur et permettant une communication sécurisée entre deux entités. Un cybercriminel pourrait donc usurper l’identité d’un serveur et avoir accès aux données de l’application. Il serait également capable d’envoyer de fausses instructions aux utilisateurs selon Citizen Lab.
Une application toujours vulnérable
Le laboratoire de recherche explique par ailleurs que certaines informations sont transmises sans chiffrement, alors que les certificats SSL sont justement censés sécuriser une communication en chiffrant les données. Ce système permet d’assurer que seules les personnes qui échangent peuvent accéder aux informations. Le service de messagerie intégré dans MY2022 est concerné par cette faille, signifiant que des fournisseurs de services internet ou des sociétés de télécommunications peuvent par exemple voir les noms des expéditeurs et des destinataires des messages.
Dans son rapport, Citizen Lab indique qu’il a publié ses découvertes car le Comité d’organisation des Jeux olympiques et paralympiques d’hiver de Pékin 2022 n’a pas encore résolu les problèmes. Pourtant, les failles lui avaient été signalées le 3 décembre dernier, avec un délai de 45 jours pour les corriger. Étant donné que le délai n’a pas été respecté, le laboratoire a divulgué publiquement les vulnérabilités le 18 janvier. La présence de ces failles signifie en outre que MY2022 enfreint les politiques de confidentialité des magasins d’applications mobiles. Des mesures de sécurité doivent en effet être mises en place pour empêcher l’utilisation, la divulgation ou l’accès des informations à des tiers non autorisés pour les applications disponibles sur l’App Store d’Apple.
Enfin, Citizen Lab explique avoir découvert une liste de censure de 2 422 mots-clés en chinois, en tibétain et en ouïghour dans le code de l’application. Parmi ces mots figurent des références négatives au système politique chinois, avec des termes comme « CCP evil », signifiant que le Parti communiste chinois est mauvais. Le laboratoire de recherche précise cependant que la liste ne semble pas être utilisée actuellement pour filtrer les communications dans MY2022.
