Le groupe canadien de cybersécurité Citizen Lab a publié un rapport qui répertorie plusieurs vulnérabilités de sécurité dans l’application MY2022 qui a été conçue pour une utilisation intensive lors des prochains Jeux olympiques d’hiver de 2022 à Pékin le mois prochain.
Pour le contexte, tous les participants, journalistes et participants à l’événement doivent télécharger l’application 14 jours avant leur départ pour la Chine. Outre la surveillance de la santé, l’application comprend également des fonctionnalités telles que la messagerie, les transferts de fichiers, les actualités olympiques et les services de guide de la ville de Pékin.
Selon Citizen Lab, l’application ne parvient pas à valider les certificats SSL, ce qui signifie qu’elle n’est pas en mesure de vérifier correctement à qui elle envoie des données. Cela permettrait aux pirates d’usurper des serveurs de confiance et d’afficher de fausses instructions aux utilisateurs, ainsi que d’accéder à des informations sensibles dans les formulaires de douane sanitaires.
Non seulement cela, mais les chercheurs basés à Toronto ont également découvert que MY2022 ne parvient pas à chiffrer les métadonnées sensibles, qui incluent les noms des expéditeurs et des destinataires des messages et leurs identifiants de compte d’utilisateur. Cela signifie qu’il est possible pour de nombreuses parties, y compris les FAI ou même quelqu’un qui est connecté à un point d’accès wifi non sécurisé, d’accéder aux données.
La partie la plus inquiétante est que le groupe a constaté que l’application permet aux utilisateurs de signaler du contenu politiquement sensible et a découvert une liste de mots clés de censure dans la version Android dans un fichier nommé “illegalwords.txt”. La liste contient 2 442 mots-clés, la majorité d’entre eux étant politiquement motivés ou impliquant des mots vulgaires, bien qu’il semble que la liste soit inactive.
En réponse au rapport, le Comité international olympique (CIO) a déclaré que l’application MY2022 avait été évaluée de manière indépendante et qu’il s’était avéré qu’elle ne présentait aucune vulnérabilité critique. Le comité d’organisation de Pékin pour les jeux n’a pas répondu aux conclusions, mais ils ont publié une mise à jour de la version iOS qui n’a résolu aucun des problèmes. Au lieu de cela, une nouvelle fonctionnalité appelée “Code vert de la santé» a été ajouté pour recueillir des informations sur les documents de voyage et des informations sur les antécédents médicaux et s’est avéré tout aussi vulnérable.
Néanmoins, plusieurs pays ont averti les athlètes de ne pas apporter leurs appareils personnels en Chine par crainte de menaces à la cybersécurité. Par exemple, le Comité olympique et paralympique des États-Unis a recommandé l’utilisation de téléphones portables ainsi que d’ordinateurs de location ou jetables. D’autre part, le Comité olympique néerlandais fournira des téléphones et des ordinateurs portables aux athlètes et au personnel qui seront ensuite éliminés à leur retour de Pékin.
(Source : Citizen Lab, À l’intérieur des jeux)
Reference :
https://keiziweb.com/
https://modern-senior.com/
https://1.myfreebulletinboard.com/
https://sildenafilgeneric-bestrx.com/
https://solelunarestaurant.com/
https://survivingmommy.com/
https://theblackjoymixtape.com/
https://urbantg.com/
https://viagracanadian-online.com/
https://westminsterdeckandfence.com/