Un chercheur en sécurité américain a décompilé l’application obligatoire pour les participants aux Jeux olympiques d’hiver de Pékin et porte désormais de graves accusations contre la Chine. Selon lui, l’application enregistrerait des sons : « Je peux définitivement affirmer que tous les enregistrements audio des athlètes olympiques sont collectés, analysés et stockés sur des serveurs chinois », explique le chercheur en sécurité Jonathan Scott sur Twitter. D’autres experts sont sceptiques.
Scott fait référence à des indications dans le code selon lesquelles les développeurs chinois de l’application ont également intégré des composants d’autres fabricants, notamment des modules de la société chinoise iFlytek, qui peuvent également traiter l’audio. Il en déduit que l’application écoute en permanence tous les utilisateurs connectés et envoie les données aux serveurs chinois. Scott a publié le code décompilé et les actifs de l’application pour Android et iOS sur Github.
Sommaire
Aucune preuve jusqu’à présent
Scott n’a pas encore prouvé que l’application enregistrait en permanence des données et les transmettait, par exemple à l’aide du trafic réseau. Pour en avoir le cœur net, il faudrait être connecté – et seuls les participants accrédités aux Jeux ont accès à l’application. C’est ce qu’ont également souligné plusieurs autres experts en sécurité informatique dans un espace Twitter avec Scott vendredi.
Il est courant de trouver des composants tiers dans le code – c’est précisément à cela que servent les kits de développement logiciel (SDK). En règle générale, le fichier exécutable créé ne fait pas l’objet d’un grand nettoyage et d’une optimisation. Ainsi, des composants proposés par le SDK s’y retrouvent, sans que l’application n’utilise ces autres fonctions.
Auparavant, des chercheurs en sécurité des Citizen Labs de l’Université de Toronto avaient trouvé des failles dans le cryptage de la communication client-serveur de l’application. Dans l’application, les athlètes olympiques doivent également déposer des données médicales telles que leur statut vaccinal. Selon Citizen Labs, il n’est pas clair avec qui toutes ces informations sont partagées. Combinées, les données privées ne seraient donc pas suffisamment protégées.
Les fédérations sportives sceptiques
Les fédérations sportives voient également l’application d’un œil critique. Le Deutscher Olympischer Sportbund (DOSB) et d’autres fédérations régionales ont recommandé aux athlètes de ne pas installer My2020 sur leur appareil personnel. Le DOSB a mis des smartphones à la disposition de la délégation allemande à cet effet. Selon certaines informations, le Comité national olympique néerlandais (NOK) a distribué des appareils « propres » qui seront détruits au retour de Chine.
Récemment, le fabricant chinois de smartphones Xiaomi a également été confronté à des accusations de détention de listes de censure dans ses smartphones. Les autorités de sécurité informatique de Lituanie et de Taiwan ont conclu que l’entreprise pouvait activer et désactiver ces listes à distance. L’Office fédéral de la sécurité des technologies de l’information (BSI) n’a toutefois trouvé aucune indication en ce sens.