Une grave vulnérabilité découverte dans l'application des Jeux olympiques de Pékin

L'application mobile officielle des Jeux olympiques d'hiver de Pékin a été piquée par des chercheurs en sécurité et les découvertes ont été troublantes.

Une équipe de recherche du Canadian Citizen Lab a publié un article sur l'application MY2022 et a découvert une vulnérabilité "dévastatrice". Selon la recherche, l'application présente une faille qui rend le cryptage des données transférées via l'application pratiquement nul et non avenu.

MY2022 est l'application officielle qui a été rendue obligatoire pour tous les participants aux Jeux olympiques de Pékin, y compris les athlètes et les équipes accompagnatrices et leur entourage. L'application sera également utilisée par les membres de la presse couvrant l'événement.

Failles de chiffrement SSL

L'équipe de recherche a découvert une vulnérabilité très importante dans la méthode utilisée par l'application pour transmettre les données entre les appareils. La communication elle-même est cryptée, mais la vulnérabilité permet à un acteur malveillant potentiel de contourner ce cryptage et d'exécuter des attaques de type "man-in-the-middle", ainsi que d'accéder à des informations sensibles.

L'application s'est avérée incapable de valider les certificats SSL. Cela permet à un attaquant potentiel d'usurper la communication du serveur de confiance et de faire en sorte que l'application se connecte à un nœud malveillant.

En plus de la mauvaise implémentation de SSL, les chercheurs ont découvert que l'application transmettait des bits de données "sensibles" sans aucun cryptage. Cela signifie que tout indiscret "passif" pourrait accéder à cette transmission via un point d'accès Wi-Fi et voir les noms des expéditeurs et des destinataires des messages, ainsi que les identifiants des comptes d'utilisateurs.

Pas de réponse du développeur

L'équipe de Citizen Lab a d'abord divulgué ses conclusions au comité d'organisation de Pékin, comme il est d'usage, avec 15 jours pour une réponse et 45 jours pour une solution. Fin janvier, l'application a été mise à jour, mais l'équipe de recherche a découvert que les problèmes signalés étaient toujours dans la dernière version et Citizen Lab n'a reçu aucune réponse à sa requête initiale.

Le document de recherche publié par Citizen Lab conclut avec de fortes indications que l'application MY2022 ne répond pas aux exigences de sécurité du Google Play Store ou de l'Apple App Store, en raison de la mauvaise gestion des données sensibles et de la mauvaise mise en œuvre de la sécurité, et en tant que tel peuvent être retirés de ces places de marché d'applications.