Jusqu’au 20 février 2022, le monde vit au diapason de Pékin qui organise ses jeux olympiques d’hiver. Pour l’occasion les autorités chinoises ont développé une application dédiée, My2022 – jusque là rien d’anormal me direz-vous. Sauf qu’on est en Chine, un pays qui va très loin dans l’autoritarisme et la surveillance de masse. L’installation de cette application est ainsi obligatoire pour toutes les personnes impliquées dans les jeux : athlètes, équipes sur place, proches des participants, journalistes…
Les autorités ont même requis que les personnes concernées téléchargent My2022 14 jours avant la cérémonie d’ouverture des jeux, en plus de données personnellement identifiables, et toutes les données autour de leur statut COVID-19 (tests, vaccins, symptômes éventuels…). Cette surveillance extrême est plutôt inédite pour des jeux olympiques. Mais ce n’est pas le seul problème inquiétant. Car en plus de laisser les services compétents du pays fouiller dans vos données personnelles, l’application est également assez mal sécurisée.
Ne téléchargez surtout pas My2022, l’app officielle des JO de Pékin 2022
A en croire Citizen Lab, l’application permet d’accéder à des pages sans validation de certificat SSL ce qui permet à n’importe quel acteur malicieux de détourner l’application pour aspirer les données personnelles des utilisateurs. Pire, ce trou dans la sécurité faciliterait les attaques de type Man-in-the-Middle – dans lesquelles un acteur se fait passer pour le routeur, ce qui l’autorise à espionner et à modifier l’intégralité du trafic d’un appareil en direct.
Ces problèmes inquiétants de sécurité ont été décelés dans les versions de My2022 2.0.0 et 2.0.5 sur iOS – mais tout indique que les variantes Android sont victimes des mêmes problèmes. Assez étrangement ces craintes mettent My2022 en portafaux des règles en vigueur sur l’App Store et le Google Play Store. D’autant que ce n’est pas tout : Citizen Lab affirme avoir découvert dans l’application des listes de mots sensibles qui pourraient servir à une future fonctionnalité de censure.
Plus de 2400 mots en chinois traditionnel, anglais, tibétain et ouïgour sont recensés dans l’application – même si, comme le note Citizen Lab, à ce stade, cette liste ne semble pas utilisée pour censurer quoi que ce soit dans ou hors de l’application. A en croire Citizen Lab, les problèmes de sécurité SSL découverts dans My2022 pourraient être intentionnels. La politique de surveillance de masse chinoise aurait en effet conduit à faire varier l’implémentation de SSL en fonction des cas.
Lire aussi – Cybersécurité – les JO d’hiver de Pékin sont-ils à haut risque ?
Si vous ne vous rendez pas cette année en Chine pour assister aux jeux, on vous recommande donc de ne surtout pas installer l’application My2022 étant donné que les information qu’elles contient sont toutes disponibles ailleurs sur le net. Et que cette application ressemble surtout à un mouchard des autorités chinoises, faisant par ailleurs courir des risques importants pour vos données personnelles.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
