(New York) Le laboratoire de recherche canadien Citizen Lab a identifié plusieurs failles de sécurité dans l’application que doivent utiliser tous les participants aux Jeux olympiques d’hiver de Pékin, selon une étude publiée mardi.
En réaction à la publication de ce rapport, le Comité international olympique (CIO) a affirmé que deux organes spécialisés en cybersécurité, sollicités par le CIO, avaient testé l’application et que leurs conclusions indiquaient que l’application ne présentait pas de « vulnérabilités cruciales ».
Selon les travaux de Citizen Lab, en revanche, l’application MY2022, créée et gérée en vue des Jeux qui s’ouvriront le 4 février par Beijing Financial Holdings Group (BFHG), filiale de la ville de Pékin, présente deux défauts importants.
« La Chine est connue pour avoir sapé les technologies de chiffrement afin de pratiquer la censure politique et la surveillance », souligne l’auteur de l’étude, Jeffrey Knockel. « Dès lors, il est raisonnable de se demander si le chiffrement des données de cette application n’a pas été volontairement saboté à des fins de surveillance ou s’il est le fait de la négligence des développeurs ».
Le premier défaut porte sur les certificats dits SSL, qui permettent à deux entités de communiquer en ligne de façon sécurisée.
D’après Citizen Lab, qui dépend de l’université canadienne de Toronto, MY2022 n’authentifie pas les certificats SSL qui lui sont soumis, ce qui signifie que des entités non reconnues pourraient avoir accès aux données de l’application.
La seconde faille tient au fait que certaines informations sont transmises sans chiffrement propre, ordinairement, aux certificats SSL, ce qui les rend plus vulnérables à un détournement.
Pour les utilisateurs étrangers de la plateforme sont recueillies des données personnelles telles que le numéro de passeport, l’organisation et le pays d’origine, ainsi que le statut vaccinal et les résultats de tests COVID-19.
Citizen Lab indique avoir pointé les failles aux autorités chinoises début décembre, leur demandant de répondre sous 15 jours et d’y remédier sous 45. Mais au terme du délai fixé par le laboratoire, Pékin n’avait pas donné suite à cette demande.
Le CIO a insisté sur le fait qu’il n’était pas obligatoire pour les participants aux Jeux de télécharger MY2022, qui pouvait être consulté depuis une page internet.
« MY2022 est un outil important dans l’arsenal des mesures anti-COVID-19 », a fait valoir le comité, et « a été conçu pour assurer la sécurité sanitaire des personnes qui se trouvent dans la bulle ».
Lors de ses travaux, Citizen Lab dit avoir aussi identifié un fichier intitulé « illegalwords.txt » (mots illégaux), dont beaucoup sont « sensibles politiquement », selon l’étude. On y trouve notamment les termes « CCP evil » (CCP pour Parti communiste chinois et « evil » pour mauvais), ou Xi Jinping, du nom du président chinois.
Si des lignes de code sont contenues dans l’application pour pouvoir censurer ces termes, elles ne sont pas activées en l’état, selon Citizen Lab.