Un rapport a révélé que l’application qui sera utilisée pour surveiller la santé des athlètes et leurs données de voyage présente un défaut de cryptage « dévastateur ».

À quelques semaines des Jeux olympiques de Pékin, l’application de santé obligatoire pour les athlètes en compétition suscite de plus en plus d’inquiétudes, après qu’un nouveau rapport a révélé que l’application présente des failles de sécurité et une liste de mots « politiquement sensibles » qui ont été marqués pour la censure.

Jeux olympiques en Chine et surveillance

Le rapport, publié par l’unité de recherche et de politique stratégique Citizen Lab de l’Université de Toronto, révèle que l’application My2022, qui sera utilisée pour surveiller la santé des athlètes et leurs données de voyage, présente une faille de cryptage « dévastatrice » qui rend les fichiers et les médias des utilisateurs vulnérables.

Selon les chercheurs, le problème est double : premièrement, l’application ne vérifie pas toujours que les serveurs sur lesquels les données cryptées sont envoyées sont les serveurs prévus, ce qui pourrait permettre à des acteurs malveillants d’usurper ou d’imiter l’identité de ce serveur pour accéder à ces fichiers. Cela pourrait permettre à l’attaquant, par exemple, de « lire les informations démographiques, de passeport, de voyage et médicales sensibles d’une victime envoyées dans une déclaration sanitaire douanière ou d’envoyer des instructions malveillantes à une victime après avoir rempli un formulaire », indique le rapport. Deuxièmement, l’application ne crypte pas du tout certaines données sensibles. En fait, cela signifie que certaines données sensibles de l’application, « y compris les noms des expéditeurs et des destinataires des messages et leurs identifiants de compte utilisateur », sont transmises sans aucune sécurité.

« Ces données peuvent être lues par n’importe quel observateur passif, par exemple une personne se trouvant à proximité d’un point d’accès wifi non sécurisé, une personne exploitant un hotspot wifi, un fournisseur d’accès à Internet ou une autre société de télécommunications », peut-on lire dans le rapport.

Les Jeux olympiques de Pékin se déroulent déjà sous un nuage de controverse. Les États-Unis ont annoncé en décembre qu’ils organiseraient un boycott diplomatique des jeux en raison de préoccupations liées aux droits de l’homme, la Chine continuant de nier la campagne qu’elle mène depuis des années contre les minorités ouïghoures. Les législateurs américains ont également proposé une nouvelle législation visant à priver le Comité international olympique (CIO) de son statut d’exonération fiscale en raison de son refus de mettre en cause la Chine pour ses violations des droits de l’homme.

JO en Chine et sécurité

Les défauts de cryptage de l’application ont suscité de nouvelles inquiétudes, mais dans quelle mesure les pays visiteurs et les athlètes doivent-ils être inquiets ? Bien que les experts affirment que les inquiétudes générales concernant la surveillance pendant les Jeux olympiques et l’application sont justifiées, la réalité est que les failles de sécurité de l’application sont probablement plus le reflet d’une mauvaise conception que d’une intention sinistre de surveillance. En d’autres termes, les athlètes et les autres personnes visitant le pays pendant les Jeux olympiques devraient être aussi prudents qu’ils le sont normalement lorsqu’ils visitent la Chine.

« La principale chose que Citizen Lab nous a apprise, c’est que nos craintes et nos préoccupations sont fondées, mais il est également vrai que nous avons tendance à diaboliser la Chine », a déclaré Jon Callas, directeur des projets technologiques à l’Electronic Frontier Foundation, un groupe de défense des droits numériques à but non lucratif.

M. Callas et d’autres experts estiment que le gouvernement chinois devrait certainement corriger la faille de sécurité, mais que celle-ci n’expose pas nécessairement les athlètes à un risque accru de surveillance par le gouvernement. De plus, il est peu probable que le cryptage soit défectueux à dessein, a déclaré Kenton Thibaut, chercheur résident en Chine du Digital Forensic Research Lab de l’Atlantic Council. Il est peu probable que quelqu’un ait intentionnellement saboté le cryptage de l’application afin d’accéder plus facilement aux informations des utilisateurs, a-t-elle souligné, car toutes les informations sont de toute façon transmises au gouvernement.

« Si vous utilisez des applications chinoises, même si vous n’êtes pas en Chine, ils auront toujours accès aux informations que vous soumettez parce que les données aboutissent dans un endroit que le gouvernement contrôle et auquel il a accès », a déclaré Mme Thibaut. « L’application elle-même est faite par une entité gouvernementale, il n’y aurait aucune raison de faire cela ».

Cela dit, les Jeux olympiques sont un événement extrêmement important pour Pékin, a déclaré Thibaut, et il est juste de s’attendre à un certain degré de surveillance, « en particulier pour les athlètes qui ont peut-être exprimé leur mécontentement quant à l’impossibilité de s’exprimer ou à la position du CIO sur la Chine ».

Citizen Lab a signalé l’existence d’une liste de 2 422 mots-clés politiques décrits dans la base de code de l’application sous le nom de « illegalwords.txt ». Bien que la fonction permettant de censurer ces mots ne semble pas être active, le rapport indique que les mots-clés vont de références à la pornographie à des mentions du mouvement Tiananmen, en passant par des mots en ouïghour comme « le Saint Coran », « injections » et « démolitions forcées ».

JO Pékin, une contestation

Ce n’est pas inattendu, a déclaré M. Callas. « La Chine bloque énormément les discussions sur absolument tout et elle exerce son influence de manière répréhensible, par exemple en indiquant dans quelle mesure on peut mentionner l’existence de Taïwan », a-t-il déclaré. « Ils ne vont pas permettre un discours libre et sans restriction parce qu’ils ne sont pas ce pays ».

« Lorsque nous avons accepté que les Jeux olympiques se déroulent à Pékin, nous avons implicitement accepté que certaines de ces choses allaient se produire », a-t-il poursuivi.

Toutefois, il existe des précautions régulières que les personnes voyageant en Chine, pendant les Jeux olympiques ou ailleurs, devraient prendre, a déclaré M. Callus. Les comités nationaux olympiques du monde entier ont conseillé à leurs équipes de laisser leurs appareils personnels derrière eux et de prendre des téléphones jetables à la place.

« Il faut partir du principe que chaque texte, courriel, visite en ligne et accès à une application peut être surveillé ou compromis », a déclaré le Comité olympique et paralympique des États-Unis dans un avis.

M. Callus a déclaré que cela devrait toujours être le cas lorsque vous voyagez en Chine, car toutes vos informations personnelles – de votre liste de contacts à vos photos – peuvent être compromises.

« L’une des raisons pour lesquelles il faut s’assurer d’utiliser un téléphone brûleur est que votre carnet d’adresses, ou liste de contacts, contient des informations sensibles, en ce sens que toute personne qui possède votre carnet d’adresses connaît, avec un certain degré de précision, votre graphe social et les personnes avec lesquelles vous êtes en contact », a-t-il déclaré. « Ce que nous avons appris, par exemple, de ces largages de Snowden il y a près de 10 ans maintenant, c’est que les gouvernements sont beaucoup plus intéressés à savoir avec qui vous êtes connecté et avec qui vous parlez régulièrement que ce que vous dites. »

Pour les athlètes qui cherchent à communiquer avec leur famille ou leurs amis en dehors du pays – d’autant plus que les familles ne sont pas autorisées à assister aux Jeux olympiques en raison de Covid – Callus a déclaré qu’ils devraient utiliser une application de messagerie cryptée « raisonnablement sécurisée », notamment iMessage, Signal ou WhatsApp.

« Si le [gouvernement] chinois ne l’a pas fermée, c’est probablement OK », a-t-il dit. « C’est probablement le meilleur moyen de parler aux gens de chez nous ».