JO d’Hiver 2022 : la Chine espionne les conversations des athlètes grâce à l’appli officielle
Alors que de nombreux pays ont déjà recommandé à leurs sportifs de ne pas emmener leur smartphone ou d'autres matériels informatiques en Chine par peur du cyberespionnage, un chercheur en sécurité informatique vient de confirmer les craintes des autorités. En effet, l'appli proposée par Pékin aux athlètes, My2022, est capable d'espionner les conversations.
Nous l'avons évoqué dans nos colonnes il y a quelques jours maintenant. Face aux risques élevés de cyberespionnage, les autorités de nombreux pays ont ordonné à leurs athlètes participants au JO d'Hiver 2022 de ne pas emporter leur smartphone personnel et se de tourner vers des appareils jetables. C'est le cas des États-Unis qui dans un mémo officiel invite ses ressortissants à la plus grande prudence durant la compétition.
Le Canada est également pris des mesures similaires, tout comme les Pays-Bas, qui entretient d'ailleurs un certain passif avec la Chine. Il faut dire qu'une enquête a prouvé que Huawei espionnait l'un des principaux opérateurs du pays. Les données de près de 6,5 millions d'abonnés ont été transmises à Pékin.
Or, nous venons d'apprendre que les craintes de ces nations viennent d'être confirmées par le chercheur en sécurité informatique Jonathan Scott. Vous ne le savez peut-être pas, mais la Chine propose à tous les participants (sportifs comme représentants) de télécharger une application spéciale censée aider à la lutte contre la Covid-19 durant la compétition. Cette appli, baptisé My2022, est présentée comme un “outil important dans l'arsenal des mesures anti-Covid”.
À lire également : Xiaomi espionnerait les utilisateurs de ses smartphones via des backdoors
Des preuves solides de l'espionnage chinois ?
Bien qu'elle ne soit pas obligatoire, cette appli permet notamment de faire contrôler leur statut sanitaire. “Je ne suis pas un expert, mais tout laisse à penser que ce genre d'application permet d'accéder à qui le souhaite aux documents qu'il peut y avoir dans le téléphone. Il y a des temps de latence qui sont un peu long. Je ne pense pas que ce soit des bugs d'application”, assurait le sportif et ingénieur Romain Heinrich.
Seulement, Jonathan Scott a procédé de la rétro-ingénierie sur My2022 pour découvrir les secrets de l'application. “Après rétro-ingénierie de tous les applications du #Beijing2022, je peux affirmer avec certitude que tous les sons des athlètes olympiques sont collectés, analysés et sauvegardés sur des serveurs chinois à l'aide de la technologie de la société d'intelligence artificielle ifltek1999, inscrite sur la liste noire des États-Unis”, assure-t-il sur Twitter.
Avant de tirer des conclusions hâtives, il conviendra de remettre en cause les déclarations du chercheur. En effet, plusieurs confrères de Jonathan Scott ont critiqué sa méthode. “Il semble utiliser Ghidra ou un autre décompilateur pour analyser l'application iOS, mais remarquez qu'il ne cite jamais le code qui fait les choses infâmes qu'il prétend. Au lieu de cela, il montre les noms des fonctions stockées en mémoire et dessine des cercles rouges les rejoignant, comme si cela signifiait quelque chose”, explique-t-il.