L’application chinoise Games présente des failles de sécurité, selon des chercheurs


Une femme se fait prendre en photo devant une installation de Pékin 2022 près de la « bulle » en boucle fermée entourant les sites des Jeux olympiques d’hiver de Pékin 2022 à Pékin, en Chine, le 18 janvier 2022. REUTERS/Thomas Peter

Inscrivez-vous maintenant pour un accès GRATUIT et illimité à Reuters.com

S’inscrire

18 janvier (Reuters) – Une application pour smartphone conçue par la Chine pour surveiller la santé des participants aux Jeux olympiques d’hiver de Pékin le mois prochain contient des failles de sécurité qui la rendent vulnérable aux atteintes à la vie privée et aux pirates, selon un rapport publié mardi par des chercheurs canadiens.

L’application MY2022 a été conçue par le comité d’organisation de Pékin principalement pour suivre et partager les informations médicales liées au COVID-19 entre les athlètes pendant les Jeux.

Les chercheurs du projet Citizen Lab de Toronto ont déclaré que MY2022 n’avait pas réussi à crypter correctement le transfert de données personnelles, ce qui le rendait vulnérable aux pirates. Ils ont également constaté que la politique de confidentialité de MY2022 ne précise pas avec quelles organisations il partagerait les informations des utilisateurs.

Inscrivez-vous maintenant pour un accès GRATUIT et illimité à Reuters.com

S’inscrire

Le Comité international olympique (CIO) a déclaré avoir mené des évaluations indépendantes sur l’application et n’avoir trouvé aucune « vulnérabilité critique ».

« Il n’est pas obligatoire d’installer ‘My 2022’ sur les téléphones portables », a déclaré le CIO dans un communiqué.

Yu Hong, directeur général du département de la technologie du comité, a déclaré mercredi que la fonction principale de l’application était de surveiller la santé des gens et que le pays suivait des règles strictes pour protéger les données.

Tous les aspects technologiques de l’application MY2022 ont été validés par les magasins d’applications concernés, a déclaré le responsable de Beijing 2022 lors d’un briefing organisé par l’ambassade de Chine aux États-Unis. Elle s’exprimait par vidéo depuis Pékin.

Yu a également déclaré que les vulnérabilités technologiques étaient naturelles lors du développement de ce type d’application, que son département mettait constamment à jour afin de supprimer ces problèmes.

Les chercheurs du Citizen Lab ont déclaré avoir découvert les failles de la version iOS de l’application après y avoir créé un compte. Ils n’ont pas pu créer de compte dans la version Android, mais ont déclaré que des failles de sécurité existaient dans les deux versions de MY2022.

Le rapport indique que MY2022 n’a pas réussi à valider les certificats SSL, qui sont nécessaires pour authentifier l’identité d’un site Web et permettre une connexion cryptée. Cela peut être exploité par des pirates pour transmettre les données à des sites malveillants.

Les données non cryptées sont transmises à « tmail.beijing2022.cn » par MY2022.

« Ces données peuvent être lues par n’importe quel espion passif, comme quelqu’un à portée d’un point d’accès WiFi non sécurisé, quelqu’un qui exploite un point d’accès WiFi, ou un fournisseur de services Internet ou une autre société de télécommunications », indique le rapport.

Citizen Lab a déclaré qu’il avait informé le comité d’organisation des Jeux olympiques d’hiver de Pékin le 3 décembre de ses préoccupations en matière de sécurité, mais n’avait reçu aucune réponse.

Les Jeux olympiques d’hiver doivent commencer le 4 février. Plusieurs pays, dont les États-Unis, la Grande-Bretagne, le Japon et l’Australie, ont annoncé des boycotts diplomatiques des Jeux en raison de préoccupations concernant les droits de l’homme en Chine.

Inscrivez-vous maintenant pour un accès GRATUIT et illimité à Reuters.com

S’inscrire

Reportage d’Ann Maria Shibu à Bengaluru, Martin Pollard à Shanghai et Beijing Newsroom; édité par Ed Osmond et Michael Perry

Nos normes : Les principes de confiance de Thomson Reuters.

Laisser un commentaire