L'application des Jeux olympiques d'hiver de Pékin 2022 regorge de risques pour la vie privée

L’application officielle des Jeux olympiques d’hiver de Pékin 2022, « My 2022 », s’est avérée peu sûre en ce qui concerne la protection des données sensibles de ses utilisateurs.

Plus important encore, le système de cryptage de l’application comporte une faille importante qui permet aux intermédiaires d’accéder aux documents, à l’audio et aux fichiers sous forme de texte en clair.

« My 2022 » est également soumis à une censure basée sur une liste de mots-clés et a une politique de confidentialité peu claire qui ne détermine pas exactement qui reçoit et traite toutes les données sensibles que les utilisateurs doivent y télécharger.

En tant que tel, il enfreint la politique logicielle de Google et les directives de l’App Store d’Apple, mais il est disponible dans les deux magasins. Enfin, l’application viole les propres lois de la Chine concernant la protection de la vie privée.

L'application My 2022 que tous les participants doivent installer et utiliser — L’application My 2022 que tous les participants doivent installer et utiliser
*Source : Laboratoire citoyen*

Tout demander

Dans un rapport détaillé de Laboratoire citoyen, les chercheurs ont analysé l’application « My 2022 » pour détecter d’éventuels problèmes de confidentialité et de sécurité et ont découvert que l’application collecte les informations sensibles suivantes :

Identifiants et modèle d’appareil
Informations sur le fournisseur de services cellulaires
Applications installées sur l’appareil
État du réseau sans fil
Localisation en temps réel
Informations audio
Accès au stockage de l’appareil
Accès à la localisation

Cette collecte de données est divulguée dans la politique de confidentialité et est nécessaire pour les contrôles de protection COVID-19, les services de traduction, l’intégration de Weibo, les recommandations touristiques et la navigation.

Cependant, l’utilisation de « Mon 2022 » n’est pas facultative. Tous les athlètes, les membres de la presse et le public doivent installer l’application et y ajouter leurs informations personnelles.

Pour les utilisateurs nationaux, « My 2022 » collecte les noms, les numéros d’identification nationaux, les numéros de téléphone, les adresses e-mail, les photos de profil et les informations sur l’emploi et les partage avec le comité d’organisation de Pékin pour les Jeux olympiques de 2022.

Pour les étrangers, « My 2022 » recueille des informations complètes sur le passeport, l’état de santé quotidien, le statut de vaccination COVID-19, les données démographiques et l’organisation pour laquelle ils travaillent.

Communications non sécurisées

Les failles du cryptage SSL de l’application sont encore plus préoccupantes et permettent des connexions non autorisées en raison de problèmes de validation de certification.

Selon les conclusions de Citizen Lab, un attaquant peut usurper au moins cinq serveurs et intercepter les données envoyées depuis l’application, l’incitant à considérer un hôte malveillant comme fiable.

Ainsi, toutes les données sensibles décrites dans la section précédente peuvent être collectées par des tiers qui échappent au contrôle du gouvernement chinois.

En plus du problème d’usurpation de serveur, les analystes ont découvert que les données transmises ne sont pas toujours cryptées, de sorte que certaines transmissions contenant des métadonnées sensibles pourraient être interceptées et lues sous forme de texte en clair via une simple écoute clandestine des paquets réseau.

Divulgation et réponse

Les risques graves pour la vie privée et la sécurité découverts par Citizen Labs ont été signalés au comité d’organisation de Pékin pour les Jeux olympiques et paralympiques d’hiver de 2022 le 3 décembre 2021.

À ce jour (18 janvier 2022), personne n’a répondu, alors les chercheurs ont publiquement révélé les failles.

Hier, les développeurs de l’application ont publié la version 2.0.5 de « My 2022 », et après une nouvelle série d’analyses, il a été déterminé que les problèmes signalés n’étaient toujours pas résolus.

Sur la question de savoir si la Chine a intentionnellement placé les failles dans l’application, Citizen Labs trouve cela hautement improbable, étant donné que le destinataire des données est l’État chinois, et qu’il n’y a aucune incitation à créer des portes dérobées supplémentaires pour quelqu’un d’autre.

L’application des Jeux olympiques d’hiver de Pékin 2022 regorge de risques pour la vie privée

Tout demander

Communications non sécurisées

Divulgation et réponse

Vulnérabilité critique F5 BIG-IP ciblée par des attaques destructrices

Le centre de cybersécurité britannique a envoyé 33 millions d’alertes aux entreprises

GitHub annonce une expérience 2FA améliorée pour les comptes npm

Microsoft corrige le nouveau relais NTLM zero-day dans toutes les versions de Windows

Microsoft May 2022 Patch Tuesday corrige 3 zero-days et 75 failles

Le gouvernement britannique publie un outil gratuit pour vérifier les risques de cybersécurité des e-mails

La détection de chute de l’Apple Watch aide à sauver un cycliste après un accident lors d’une averse

Le portefeuille Smart MagSafe pourrait vous alerter si vous laissez une carte derrière vous

iOS 18 : ce que j’attends de Siri + AI

Meilleures balances intelligentes avec synchronisation iPhone pour l’application Santé d’Apple

Les puces fabriquées aux États-Unis coûteront plus cher à Apple, malgré les subventions du gouvernement

La dernière tactique d’escroquerie amoureuse utilise deux téléphones avec une application d’échange de visage

Voyant vert clignotant sur votre étui Airpods ? Apprenez à résoudre

Comment activer et désactiver les sous-titres pour les vidéos sur TikTok

Raccourci iPhone pour activer/désactiver les services de localisation