Actualités

Beijing 2022 : compromission sécuritaire de l’application mobile My2022 impactée par deux vulnérabilités dont une relative au chiffrement-donnée !

En plus des tensions politiques et éthiques, notamment relatives à certains actes ou manquement d’actes du CIO (Comité International Olympique) quant à l’application des droits de l’Homme ou des Droits Humains en Chine (pour ne pas citer, entre-autres, le cas des Ouighours) – Alkan Akad, chercheur pour Amnesty International en Chine, craignant que les JOs de Pekin servent de fondement pour asseoir “un exercice de propagande” – s’est posé, en l’état, une double-vulnérabilité concernant une application mobile nommée My2022 : principalement utilisée par les médias-presse, le personnel interne mais, aussi, les futurs athlètes qui devront la télécharger environ 14 jours avant qu’ils n’arrivent à leur village olympique respectif, elle recèlerait déjà de graves failles sécuritaires, démontre Citizen Lab, appuyé entre-autre par “un chercheur anonyme“, dans son billet dédié, depuis le 18 Janvier 2022…

 

 

Nous exposons les deux vulnérabilités de sécurité que nous avons découvertes dans MY2022 liées à la sécurité de la transmission des données utilisateur. Tout d’abord, nous décrivons une vulnérabilité dans laquelle MY2022 ne parvient pas à valider les certificats SSL, échouant ainsi à valider à qui il envoie des données sensibles et cryptées. Deuxièmement, nous décrivons les transmissions de données que MY2022 ne parvient pas à protéger avec un cryptage. Nous avons examiné la version 2.0.0 de la version iOS de MY2022 et la version 2.0.1 de la version Android de MY2022. Bien que nous n’ayons pu créer un compte que sur et donc examiner pleinement la version iOS de MY2022, d’après notre meilleure compréhension, les vulnérabilités décrites ci-dessous semblent exister à la fois dans les versions iOS et Android de MY2022“, est-il résumé. Cette application mobile se compose d’un espace de conversation, d’un hub-média (actualités, informations, messages) ainsi que de fonctions permettant, surtout, de pouvoir mieux visualiser, par personne, l’historique COVID-19. C’est ce dernier point, bien évidemment, qui pose soucis : outre la teneur des informations (sensibles ou personnelles dans une application mobile… y compris le statut vaccinal, les résultats, les cas-contacts), il a été possible d’ex-filtrer certaines informations ; quant ce ne fut pas une mise en lumière d’un partage-donnée assez vaste, avec un chiffrement défaillant.

Teneur des vulnérabilités :

 

 

  • Depuis le 3 Décembre 2021, le certificat SSL est défaillant, permettant à un individu distant d’intercepter les (méta-)données – non-chiffrées – pour mieux les ex-filtrer et / ou les modifier en vue éventuelle de les renvoyer (ainsi tronquées, donc). Au minimum, 5 serveurs ou domaines seraient concernés par cette défaillance critique (my2022 .beijing2022. cn, tmail.beijing2022 .cn dongaoserver.beijing2022 . cn app. bci a. com.cn et santé . customsapp . com) qui s’opère depuis le port 8099 et cible autant les auteur(e)s des messages que leurs destinataires. En l’absence de réponse, Citizen Lab, après avoir prévenu l’intéressé (Membre CIO des Jeux Paralympiques et Olympiques d’Hiver de Pékin 2022), a décidé de divulguer publiquement la vulnérabilité ;

 

  • Par la suite et depuis le 17 Janvier 2022, malgré une nouvelle version de l’application mobile estampillée en version 2.0.5 (iOS – Apple Store), en plus de la vulnérabilité décrite ci-dessus, une autre s’est ajoutée. En effet, via la fonction “Green Health Code”, une intrusion sécuritaire était possible via, également, l’exploitation d’une défaillance du SSL (invalidation-certificat). L’ensemble des données rattachées à cette fonction (historique médical, documents administratifs justifiant le déplacement professionnel ou sportif).

 

Nom, carte d’identité, numéro de téléphone, mail, avatar, informations salariales sont partagées pour les profils-lambda ; les documents type passeport et les informations géographiques-démographiques en prime, pour les professionnelles ou personnel interne.

 

 

L’exploit a, par ailleurs, mis en lumière une liste assez étrange : vraisemblablement pour limiter la liberté d’expression ou, du moins, certains mots ou expressions, un fichier texte (illegalwords.txt) contenait pas moins de 2 442 mots-clés par dialecte (chinois simplifié, tibétain, ouïghour et même l’anglais) ou communauté. Bien qu’aucune trace n’ait été trouvée ou qu’aucun appel-code n’ait été effectif selon les investigations de Citizen Lab, cette liste pose légitimement la question de l’éthique et plus largement du respect du Droit Humain. Substances interdites, sujets politiques, actualités sur certaines réglementations chinoises : les mots-clefs pouvaient aussi bien faire office de limitation générale (comme on peut le pratiquer sur tout site voire depuis un logiciel de contrôle parental) avec, parfois, des mots qui peuvent indiquer que la Chine frôle dangereusement avec la censure.

Selon la théorie des chercheurs sécuritaires, couplée avec l’actualité chinoise, une telle défaillance pourrait – bien que, pour l’heure, aucune preuve n’ait été trouvée – avoir été pratiquée volontairement par la Chine-même pour permettre de mieux voir ou contrôler la teneur des informations échangées entre les utilisateurs de cette application mobiles ; en clair, il serait question, théoriquement, d’un logiciel-espion arrangé.

 

Enfin, de nombreux articles du PIPL (Personal Information Protection Law), l’équivalent RGPD européen en Chine, ont été transgressés en terme de protection de la confidentialité de la donnée : entre-autres, l’identification des sous-traitants ou intermédiaires – art. 27 – qui peuvent avoir une telle vue sur ces données personnelles voire sensibles, ce qui n’est apparemment pas le cas sous l’application mobile My2022, tout comme l’anonymisation de la donnée et l’entretien sécuritaire – art. 51 – de celle-ci, via un chiffrement stable et robuste. Autant d’irrégularités qui pourraient conduire, si les éditeurs ne rectifie pas le tir, à faire retirer My2022 de l’AppStore voire du PlayStore ; en notant que les JOs débuteront le 4 Février 2022 ; 4 Mars 2022, concernant les Jeux Paralympiques… A veiller !

 

 

 

Source : Citizen Lab – 18 Janvier 2022 – My2022 : deux failles dans l’application mobiles permettant une ex-filtration de données avec peu ou aucun chiffrement (SSL défaillant).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6