2. Technos & Medias

  3. Informatique

Jeux Olympiques de Pékin : imbroglio autour de l'app officielle "My2022" accusée d'espionnage

Alors que les Jeux Olympiques d'hiver de Pékin vont débuter ce 4 février, une application imposée par le comité olympique, My 2022, fait beaucoup parler d'elle. Entre fantasmes d'espionnage des athlètes et inquiétudes légitimes sur sa sécurité, elle reflète les inquiétudes des pays occidentaux sur la cybersécurité de l'événement organisé en Chine.
François Manens
L'application My 2022 concentre les inquiétudes relatives à la cybersécurité des Jeux Olympiques.
L'application "My 2022" concentre les inquiétudes relatives à la cybersécurité des Jeux Olympiques. (Crédits : Google Play Store)

L'application "My 2022", obligatoire pour participer aux Jeux Olympiques d'hiver de Pékin, espionnerait-elle ses utilisateurs ? Cette accusation grave, relayée par plusieurs médias américains et français, se base sur de longs messages publiés sur Twitter par Jonathan Scott. Depuis le 26 janvier, cet étudiant-chercheur américain, autoproclamé meilleur hacker au monde et suivi par plus de 20.000 personnes, matraque ses conclusions :

"Je peux définitivement dire que tout l'audio des athlètes olympiques est collecté, analysé et sauvegardé sur des serveurs chinois à l'aide d'une technologie utilisée par une entreprise d'intelligence artificielle placée sur liste noire par les Etats-Unis."

Jonathan Scott n'hésite pas à qualifier l'application de "spyware" (logiciel espion), à dénoncer une "violation des droits de l'Homme" et il demande que l'app soit retirée du Google Play Store et de l'App Store. Bien que les fondements de son analyse soient balayés par de grands noms de la cybersécurité, Scott est parvenu à trouver un écho jusqu'au sénat américain. Il a profité du climat d'inquiétude généralisé sur la cybersécurité de l'événement, et d'une autre étude, bien plus sérieuse, qui pointe les défauts de l'app.

Des accusations d'espionnage sans fondement

La publication de Jonathan Scott a créé une petite tempête dans le monde de la cybersécurité. Les experts de tous bords s'accordent pour dire que l'analyse -trop pauvre techniquement au-delà des apparences- ne suffit absolument pas à prouver ses accusations. Face à cette pluie de critiques, Jonathan Scott persiste et signe, arguant que chacun de ses opposants n'est pas un "véritable spécialiste" du sujet.

"Il a opté pour une approche très basique de la recherche de vulnérabilité, et il n'utilise pas les outils de référence, ce qui retirait d'emblée du crédit à sa recherche", explique à La Tribune le hacker éthique français Adrien Jeanneau. "Ensuite quand on regarde de plus près, il fait référence à des fonctions qui sont présentes dans le SDK (le fichier de configuration de l'app, ndlr), mais il ne donne aucune preuve qu'elles sont utilisés à des fins d'espionnage", poursuit-t-il. Par exemple, s'il est prévu que l'application puisse enregistrer la voix des utilisateurs, rien n'indique que ce soit pour autre chose que de la traduction instantanée.

Après avoir cité d'autres écueils de l'analyse de Scott, Adrien Jeanneau finit par conclure : "en fait, absolument rien ne va". Ses constats font échos aux messages exaspérés de nombreux spécialistes, comme Tavis Ormandy, chercheur réputé de Google et membre d'une des meilleures divisions de recherche au monde. "Il y a bien trop de niveaux différents d'erreurs dans cette capture d'écran pour que ce ne soit pas une parodie", a-t-il commenté sous une des "preuves" avancées par Scott.

Mais de vrais questionnements sur l'application

Le problème, c'est que si l'application "my 2022" n'est pas le logiciel espion présenté par Jonathan Scott, elle n'est pas exempte de tout reproche, loin de là, ce qui rend la situation confuse.

Pour commencer, le chercheur critiqué dénonce l'appel à iFlytek, une entreprise d'intelligence artificielle chinoise, pour gérer la fonctionnalité de traduction vocale de l'app. Cette dernière a été bannie par le département du commerce américain en octobre 2019 pour son implication dans la surveillance du peuple Ouïghour, au service du gouvernement chinois. Si l'implication de iFlytek ne représente pas une menace concrète comme le suggère Scott, elle nourrit tout de même des inquiétudes de certains défenseurs de la vie privée.

Ensuite, quelques jours avant l'analyse erronée de Scott, le bien plus sérieux Citizen Lab, un laboratoire de recherche réputé de l'Université de Toronto, avait publié son rapport sur l'app. Ses chercheurs avaient découvert un défaut "simple mais dévastateur" dans la façon dont les données des utilisateurs sont protégées. Un défaut d'autant plus dérangeant que l'app demande à l'utilisateur toutes sortes de données sensibles comme les informations de son passeport, son historique médical ou encore son historique de voyage, dans le but de garantir la sécurité sanitaire de l'événement. Les chercheurs ont remonté le problème aux développeurs de l'app le 3 décembre 2021, mais ces derniers n'ont pas répondu aux demandes de message, de sorte qu'il n'est pas clair si oui ou non le problème a été adressé.

Le Citizen Lab a également révélé que l'application contient des fonctionnalités pour signaler des contenus "politiquement sensibles" qui seraient tenus sur la fonctionnalité de discussion de l'app. Un fichier analysé par les recherche contient par exemple liste de plus de 2.400 mots et expressions -pour l'instant inactive- qui pourraient être bannis de l'app. On y retrouve, dans plusieurs langues, des insultes racistes, des références aux sujets de tension internationale comme le traitement du Ouïghours ou la personnalité du  Dalai-Lama, ainsi que des critiques contre le pouvoir. Dans une envolée purement spéculative, Jonathan Scott a d'ailleurs suggéré que ces termes bannis seraient les déclencheurs des fonctionnalités de surveillance...

Des délégations méfiantes

Cette imbroglio autour de "my 2022" -entre fantasmes et inquiétudes justifiées- s'inscrit dans un contexte de méfiance plus générale contre le pouvoir chinois, connu pour sa volonté de contrôler les contenus en ligne et sa capacité à déployer des systèmes de surveillance avancé.

Résultat, comme le relève Axios, plusieurs délégations ont pris des mesures préventives. L'association olympique britannique met à disposition de ses représentants des ordinateurs et téléphones temporaires, la délégation canadienne fournit directement téléphones et cartes SIM, tandis que l'Allemagne va de son côté fournir des appareils Samsung (le sponsor officiel des Jeux) sur place. Et cette liste de pays qui déconseillent à leurs représentants d'utiliser des appareils personnels s'étend encore.

Le plus méfiant d'entre tous reste sans surprise le comité olympique et paralympique américain, puisque les deux pays se livrent un affrontement technologique et diplomatique exacerbé depuis l'affaire Huawei. Dans une note consultative à destination des membres de la délégation obtenue par Axios, le comité avance "qu'aucune garantie de confidentialité des données ou de sécurité ne doit être faite, quelque soit la technologie de sécurité utilisée". "Partez du principe que chaque appareil et chaque communication, transaction ou activité en ligne va être surveillée", complète le texte. C'est donc dans une drôle d'atmosphère que vont débuter les Jeux Olympiques ce 4 février.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaires 3
à écrit le 01/02/2022 à 16:12
Signaler
Ah bon? Y a des Jeux? En Chine en plus...ça intéresse qui? Il paraît qu'il y aura aussi du foot au Quatar 🤣 Mdr. On entend dire qu'il s'agirait de sport. 2xMdR🤭
à écrit le 01/02/2022 à 10:59
Signaler
Perso je boycotte ces jeux … enfin cette farce et toutes les marques qui y sont associées car complice du genocide tibétain et ouïgour… et d autres peut être … la civilisation chinoise est une grande et brillante civilisation mais pas son gouvernemen...
à écrit le 01/02/2022 à 10:56
Signaler
Comment s en étonner on est en guerre systémique avec Pékin qui rêve de nous anéantir pour sa politique intérieure…les talents n ont su à prendre 2 portables et isoler cette appli sur l un des deux qui ne sera jamais utilisé. De toute façon ces jeux ...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.