Les enquêteurs trouvent l’application Beijing 2022 criblée de failles de sécurité

My2022, l’application mobile compagnon des prochains Jeux olympiques d’hiver de Beijing 2022, que les autorités chinoises auraient ordonné à tous les participants et participants de télécharger sur leurs appareils mobiles, est criblée de failles de cybersécurité, ce qui la laisse largement ouverte à l’exploitation.

C’est ce qu’affirment des chercheurs du Citizen Lab du Canada, un laboratoire interdisciplinaire basé à la Munk School of Global Affairs and Public Policy de l’Université de Toronto, qui s’est fait connaître en 2021 pour son rôle dans la dénonciation de l’utilisation illicite et contraire à l’éthique de Pegasus, une application de logiciel espion « légitime » par plusieurs gouvernements.

L’application My2022 est facturée comme un service polyvalent, intégrant des fonctionnalités telles que le chat en temps réel, y compris le chat audio vocal, les transferts de fichiers et les mises à jour des actualités et de la météo.

Pour les visiteurs en Chine, y compris les médias accrédités et les athlètes, il sert également de moyen de soumettre les informations de santé qui sont maintenant nécessaires pour entrer dans le pays, telles que les dossiers de vaccination Covid-19, les résultats des tests et, une fois en Chine, les auto-déclarations quotidiennes.

Selon Citizen Lab, la vulnérabilité de sécurité la plus importante concerne l’échec de l’application à valider correctement les certificats SSL, ce qui signifie qu’elle ne peut pas valider à qui elle envoie des données utilisateur sensibles. Cela laisse la porte ouverte à une attaque de l’homme du milieu où un acteur malveillant peut usurper un serveur de confiance en interceptant les communications et en trompant l’appareil de l’utilisateur pour qu’il se connecte au serveur compromis.

Citizen Lab a également constaté que l’application My2022 transmet certaines données sensibles sans aucune forme de cryptage SSL ou d’autres mesures de sécurité. Ces données comprennent la métadate relative aux messages, y compris les noms des expéditeurs et des destinataires et leurs identifiants de compte. Ces données peuvent être lues par n’importe quel « espion passif », par exemple quelqu’un à portée d’un point d’accès Wi-Fi non sécurisé, d’un propriétaire de point d’accès Wi-Fi ou, plus préoccupant, d’un fournisseur de services de communication (CSP).

Jeffrey Knockel de Citizen Lab a déclaré que l’organisation avait révélé ces vulnérabilités au comité d’organisation des Jeux de Pékin le 3 décembre 2021, mais n’avait reçu aucune réponse. Une version mise à jour de l’application publiée sur l’App Store d’Apple le 17 janvier 2022 n’a pas résolu les problèmes et a introduit une nouvelle fonctionnalité de rapport d’état de santé qui n’a pas non plus réussi à transmettre des données en toute sécurité.

L’équipe de Knockel a également constaté des problèmes avec la politique de confidentialité de l’application, qui, bien que raisonnablement claire à bien des égards, ne spécifie pas toujours quelles organisations ou entités elle peut partager les données de santé confidentielles d’un utilisateur, ce qui peut être une source légitime de préoccupation pour certains voyageurs en Chine.

Ils ont également trouvé des preuves que l’application contient des mesures de blocage et de censure, découvrant une liste de mots-clés interdits couvrant des sujets politiques liés à la Chine.

Cependant, Citizen Lab s’est abstenu de dire que les vulnérabilités avaient été intentionnellement placées à la demande du gouvernement chinois. Même si la Chine utilise ouvertement la technologie pour mener une surveillance illicite et qu’il existe des préoccupations légitimes quant à la sécurité des logiciels développés par des entreprises chinoises (telles que TikTok), il n’y avait dans ce cas aucun intérêt à ce que Pékin intercepte des données – telles que le statut Covid-19 des visiteurs – qu’elle collecterait de toute façon au point d’entrée du visiteur.

« Nos travaux antérieurs suggèrent qu’une protection insuffisante des données des utilisateurs est endémique à l’écosystème des applications chinoises. Alors que certains travaux ont intentionnalité attribuée à la mauvaise sécurité logicielle découverte dans les applications chinoises, nous pensons qu’un manque de sécurité aussi répandu est moins susceptible d’être le résultat d’une vaste conspiration gouvernementale que le résultat d’une explication plus simple telle que des priorités différentes pour les développeurs de logiciels en Chine », a écrit Knockel.

Il a ajouté qu’il était intéressant de noter que le gouvernement chinois avait pris des « mesures significatives » pour freiner la collecte invasive de données personnelles par les entreprises chinoises – notez l’introduction de ses lois PIPL de type GDPR l’année dernière. En effet, a-t-il ajouté, la transmission non sécurisée de données par My2022 pourrait en fait violer les nouvelles lois chinoises sur la protection de la vie privée. Il viole certainement les conditions générales auxquelles les développeurs d’applications doivent adhérer pour être répertoriés sur le Google Play Store et l’App Store d’Apple.

« À la lumière de nos recherches précédentes, nos résultats analysant MY2022, bien que préoccupants, ne sont pas particulièrement surprenants pour les applications opérant en Chine et parfois les applications développées par des entreprises chinoises », a écrit Knockel.

« Bien que nous ayons trouvé des problèmes de sécurité flagrants et facilement détectables dans la façon dont MY2022 effectue le cryptage, nous avons également observé des problèmes similaires dans les produits développés en Chine. Zoom, ainsi que l’ les plus populaires Chinois Navigateurs Web. »

Le CIO repousse

Le Comité International Olympique (CIO) s’est opposé au rapport de Citizen Lab, affirmant que contrairement à son rapport, il n’était pas obligatoire pour les visiteurs d’utiliser My2022 – car les participants peuvent également accéder à des services tels que la surveillance et le suivi du Covid-19 via un site Web.

L’organisation a également déclaré qu’il était possible pour les utilisateurs de configurer l’application pour lui refuser l’accès aux fichiers et aux médias, à la caméra et au microphone de leur appareil, ainsi qu’aux données de localisation, entre autres choses.

Chris Hauk, défenseur de la protection de la vie privée des consommateurs chez Pixel Privacy, a déclaré: « Les utilisateurs doivent partager le moins d’informations possible avec l’application et il est également conseillé de s’assurer que leurs informations de connexion et de mot de passe sont différentes de celles utilisées sur d’autres applications, sites Web et autres utilisateurs. Les utilisateurs doivent également supprimer l’application de leurs appareils dès que possible. À tout le moins, désinstallez-le après avoir nettoyé l’espace aérien chinois, afin de vous protéger contre d’éventuelles tentatives de piratage à l’avenir.

Chris Olson, PDG de Media Trust, une plate-forme de sécurité numérique d’entreprise, a déclaré que les problèmes de My2022 portaient sur des problèmes plus larges dans l’écosystème des applications mobiles: « Toutes les applications mobiles ne sont pas sensibles aux attaques de l’homme du milieu, mais la plupart d’entre elles contiennent des tiers non divulgués qui peuvent accéder aux mêmes données utilisateur que le développeur.

« Les utilisateurs mobiles supposent souvent qu’ils sont en sécurité, soit en raison des politiques de l’App Store, soit parce qu’ils ont consenti aux conditions d’utilisation, mais les tiers ne sont pas soigneusement vérifiés par les réviseurs d’applications, et ils sont rarement surveillés pour la sécurité. Ils peuvent être détournés pour exécuter des attaques de phishing, partager des données sensibles avec des quatrièmes ou cinquièmes parties, subir une violation de données causée par des pratiques de sécurité laxistes, ou pire.

Avant les révélations de Citizen Lab, la British Olympic Association (BOA) a déjà averti les athlètes en visite de laisser leurs appareils personnels au Royaume-Uni avant de se rendre en Chine, et leur a proposé d’utiliser des téléphones dits à brûleur pour la durée de leur voyage. Le Comité olympique néerlandais a pris des mesures similaires.