La semaine dernière déjà, il a été annoncé que les participants allemands aux Jeux olympiques devraient utiliser des téléphones portables fournis par le Deutscher Olympischer Sportbund (DOSB) afin d’utiliser l’application obligatoire MY2022. Celle-ci doit notamment servir à vérifier et à surveiller le statut sanitaire du Covid-19 et doit être installée par les spectateurs, les représentants de la presse et les athlètes. L’inquiétude porte principalement sur la vie privée des participants – et elle est apparemment justifiée.

Une vie privée lacunaire

Des chercheurs en sécurité des Citizen Labs de l’Université de Toronto ont examiné de plus près l’application pour iOS et Android et ont découvert des points faibles, notamment au niveau du cryptage. En outre, l’application recueille diverses données sensibles comme des informations sur la santé. L’application est certes ouverte à ce sujet, mais il est difficile de savoir avec qui ces données sont partagées.

De plus, MY2022 permet de signaler des contenus « politiquement sensibles ». L’application contient en outre une liste de censure avec des mots indiquant des thèmes politiquement indésirables comme la répression des Ouïghours au Xinjiang ou le Tibet, mais elle n’est actuellement pas active. Le fournisseur de l’application n’a pas réagi aux signalements des points faibles, écrivent les chercheurs dans leur message de sécurité.

Erreur dans le cryptage

L’application utilise des connexions cryptées pour transférer les données. Toutefois, les chercheurs en sécurité ont découvert que la vérification des certificats était erronée et que les connexions à au moins cinq serveurs étaient donc vulnérables aux attaques de l’homme du milieu. Les données pourraient ainsi tomber entre de mauvaises mains. Un attaquant capable de s’immiscer dans la communication pourrait par exemple prétendre être le serveur health.customsapp.com et s’emparer ainsi des données qui y sont transmises.

Dans certains cas, il n’y a même pas de cryptage. Ainsi, les connexions à tmail.beijing2022.cn sur le port 8099 transmettraient des informations non protégées. Les pirates écoutant sur le réseau pourraient ainsi enregistrer des métadonnées sensibles telles que les destinataires et les expéditeurs des messages, leurs noms ainsi que leurs identifiants de compte – par exemple sur des points d’accès WLAN partagés.

Dans leur analyse, les Citizen Labs soulignent que la Chine a une longue histoire de détournement du chiffrement à des fins de surveillance politique et de censure. Les autorités locales chinoises utilisent couramment des techniques d’interception de données telles que le reniflage des réseaux WLAN. Il est donc légitime de se demander si le cryptage a été délibérément saboté ou si les erreurs sont dues à la négligence des développeurs.

Inquiétude légitime

Les chercheurs en sécurité spéculent que l’application pourrait enfreindre la loi chinoise sur la protection des données ainsi que la loi sur la protection des données personnelles. En outre, MY2022 pourrait ne pas respecter la politique de Google en matière de logiciels indésirables et celle d’Apple concernant l’App Store.

Les résultats de l’analyse donnent raison aux inquiétudes des fédérations sportives nationales. MY2022 ne protège pas correctement la vie privée des utilisateurs. Par conséquent, ceux qui doivent obligatoirement utiliser l’application devraient accepter des offres comme celle de l’Association sportive olympique allemande et utiliser les smartphones mis à disposition pour l’application.