L’application obligatoire pour les Jeux olympiques chinois présente une faille de chiffrement “dévastatrice”, selon un analyste

Tous ceux qui assistent aux Jeux olympiques de Pékin doivent télécharger MY2022, une application que la Chine dit est de surveiller Covid, mais qui anaylsts w

Tous ceux qui assistent aux Jeux olympiques de Pékin doivent télécharger MY2022, une application selon la Chine pour surveiller Covid, mais qui, selon les analystes, présente des failles de sécurité “dévastatrices”.

Une application que tous les participants aux prochains Jeux olympiques de Pékin doivent utiliser présente des failles de cryptage qui pourraient permettre la fuite d’informations personnelles, a déclaré mardi un organisme de surveillance de la cybersécurité.

La “faille simple mais dévastatrice” dans le cryptage de l’application MY2022, qui est utilisée pour surveiller Covid et est obligatoire pour les athlètes, les journalistes et les autres participants aux jeux dans la capitale chinoise, pourrait permettre la fuite d’informations sur la santé, de messages vocaux et d’autres données , a prévenu Jeffrey Knockel, auteur du rapport pour Citizen Lab.

Citizen Lab a informé le comité d’organisation chinois des Jeux des problèmes début décembre et leur a donné 15 jours pour répondre et 45 jours pour résoudre le problème, mais n’a reçu aucune réponse.

“La Chine a l’habitude de saper la technologie de cryptage pour effectuer une censure et une surveillance politiques”, a écrit Knockel.

« En tant que tel, il est raisonnable de se demander si le cryptage de cette application a été intentionnellement saboté à des fins de surveillance ou si le défaut est né de la négligence du développeur », a-t-il poursuivi, ajoutant que « le cas du gouvernement chinois sabotant le cryptage de MY2022 est problématique. “

Les failles affectent les certificats SSL, qui permettent aux entités en ligne de communiquer en toute sécurité. Dans un cas, MY2022 n’authentifie pas les certificats SSL, ce qui signifie que d’autres parties pourraient accéder aux données de l’application, tandis qu’un autre voit les données transmises sans le cryptage habituel des certificats SSL.

Knockel a déclaré que bien que l’application soit transparente sur les informations médicales qu’elle collecte dans le cadre des efforts de la Chine pour dépister les cas de Covid-19, “on ne sait pas avec qui ou avec quelle(s) organisation(s) elle partage ces informations”.

MY2022 contient également une liste appelée “illegalwords.txt” de phrases “politiquement sensibles” en Chine, dont beaucoup concernent la situation politique de la Chine ou ses minorités musulmanes tibétaines et ouïghoures.

Ceux-ci incluent des mots-clés comme “CCP evil” et Xi Jinping, le président chinois, bien que Knockel ait déclaré qu’il n’était pas clair si la liste était activement utilisée à des fins de censure.

En raison de ces fonctionnalités, l’application peut enfreindre à la fois les politiques de Google et d’Apple concernant les logiciels pour smartphones, ainsi que “les propres lois et normes nationales de la Chine relatives à la protection de la vie privée, offrant des voies potentielles de recours futurs”, a-t-il écrit.


Des chercheurs découvrent des problèmes de confidentialité dans le navigateur populaire Baidu


© 2022 AFP

Citation: L’application obligatoire pour les Jeux olympiques chinois présente une faille de chiffrement “dévastatrice”: analyste (18 janvier 2022) récupéré le 18 janvier 2022 sur https://techxplore.com/news/2022-01-mandatory-chinese-olympics-app-devastating.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.