JO de Pékin : l'appli officielle "My2022", un espion au service du régime chinois ? – L'Express

Et si l'application "My 2022" servait des enjeux plus diplomatiques que sanitaires ? Ces derniers jours, plusieurs médias relaient l'information suivante : le dispositif instauré pour les Jeux olympiques de Pékin pourrait espionner ses utilisateurs. Pour rappel, cette dernière est utilisée notamment pour contrôler le statut sanitaire des participants qui resteront dans la bulle mise en place par Pékin pour éviter la transmission du Covid-19 au reste du pays. Ces accusations viennent d'un étudiant-chercheur, Jonathan Scott, qui a publié un long thread à ce sujet sur Twitter. Celui qui se considère comme le "meilleur hacker du monde" est suivi par plus de 20 000 personnes. D'où la résonance de ces conclusions publiées le 26 janvier : "Je peux définitivement dire que tout l'audio des athlètes olympiques est collecté, analysé et sauvegardé sur des serveurs chinois à l'aide d'une technologie utilisée par une entreprise d'intelligence artificielle placée sur liste noire par les Etats-Unis."

After reverse engineering all of the #Beijing2022 #spyware app for @Apple #ios and @Google #Android
I can definitively say all Olympian audio is being collected, analyzed and saved on Chinese servers using tech from USA blacklisted AI firm @iflytek1999 https://t.co/9wX1sP8PZP pic.twitter.com/hdIfiKX37m
— Jonathan Scott (@jonathandata1) January 26, 2022

L'application "My2022" a été développée par une entreprise publique et reposait initialement sur la technologie développée par iFlyTek. Elle est chargée de surveiller la population ouïghoure dans la province du Xinjiang, qui est visée par une forte répression de la part du parti communiste chinois. A noter que le gouvernement américain avait placé iFlyTek sur liste noire en raison de problèmes liés aux droits de l'homme et à la sécurité. Pour revenir à l'application "My2022", elle est majoritairement destinée aux athlètes, au personnel de soutien, aux hauts fonctionnaires ou encore aux journalistes concernés. Dans le guide du Comité international olympique dédié aux participants aux Jeux olympiques, l'organisation déclare que tous les athlètes voyageant à Pékin depuis l'extérieur du pays doivent télécharger et utiliser le "Système de surveillance de la santé" de l'application quatorze jours avant leur départ pour la Chine et pendant la durée de leur séjour.

LIRE AUSSI : Acheter son terrain dans le métavers, une bonne affaire ?

Les personnes concernées doivent entrer dans l'application quotidiennement des données sur leur état de santé, leur statut vaccinal et les résultats de leurs tests du Covid, mais aussi des informations relatives à leurs déplacements et leur passeport. Lorsqu'il évoque l'application, Jonathan Scott ne mâche pas ses mots et dénonce une "violation des droits de l'Homme." Il va même jusqu'à qualifier l'application de "spyware" (logiciel espion). Cependant, ces déclarations sont à prendre avec des pincettes, car les conclusions de cet étudiant chercheur en informatique restent sans preuve. Surtout, Jonathan Scott profite du vent de panique suscité par les résultats d'un rapport publié le 18 janvier par des chercheurs du Citizen Lab, une équipe basée à l'Université de Toronto. Leur analyse a révélé que l'application "My 2022" avait le potentiel d'être infiltrée par des pirates, en plus de soulever des problèmes de censure.

Des failles de sécurité ?

Si les utilisateurs sont également tenus de fournir des informations sensibles sur l'application, le lieu où se trouveront ces informations et leur accès restent flous, selon le rapport. Les chercheurs craignent que des acteurs malveillants puissent usurper ou imiter l'identité d'un serveur pour accéder à ces fichiers. Cela pourrait permettre à l'attaquant, par exemple, de "lire les informations démographiques, de passeport, de voyage et médicales sensibles d'une victime envoyées dans une déclaration de santé douanière ou d'envoyer des instructions malveillantes à une victime après avoir rempli un formulaire", indique le rapport. Deuxièmement, l'application ne chiffre pas du tout certaines données sensibles. En effet, cela signifie que certaines informations sensibles au sein de l'application, "y compris les noms des expéditeurs et des destinataires des messages et leurs identifiants de compte d'utilisateur", sont transmises sans aucune sécurité.

LIRE AUSSI : 2008-2022 : entre deux JO de Pékin, l'émergence d'une Chine autoritaire et décomplexée

"Ces données peuvent être lues par n'importe quel espion passif, comme quelqu'un à portée d'un point d'accès wifi non sécurisé, quelqu'un qui exploite un point d'accès wifi, ou un fournisseur de services Internet ou une autre entreprise de télécommunications", poursuit le rapport. Interrogée par l'AFP, Yu Honga, responsable technique du Comité d'organisation des Jeux, a rejeté toute possibilité de captage de données après la parution du rapport de Citizen Lab. En outre, elle a assuré que les failles de sécurité avaient été corrigées lors d'une précédente mise à jour. Côté américain, les conclusions de ce rapport sont prises très au sérieux.

En s'appuyant sur ces conclusions, le FBI a averti que l'application pourrait présenter un risque pour la sécurité des participants, tout comme d'autres programmes couramment utilisés comme les portefeuilles numériques. De telles applications pourraient être utilisées par des attaquants pour "voler des informations personnelles ou installer des outils de suivi, du code malveillant ou des logiciels malveillants", a déclaré l'agence. Une chose est sûre : les doutes autour de l'application chinoise crispent un peu plus l'atmosphère autour de ces Jeux olympiques déjà sous haute tension.