En préparation des Jeux olympiques de Tokyo en 2021, le Japon a travaillé au développement d’une application de suivi des contacts qui suivrait les visiteurs étrangers, mais les inquiétudes se sont rapidement accrues concernant les bogues du logiciel et la question de savoir si tous les visiteurs posséderaient des smartphones sur lesquels installer l’application.
Le rapport du Citizen Lab indique que MY2022 n’a pas réussi à confirmer une signature de cryptage unique avec le serveur sur lequel il transférait des données. En effet, cela signifiait que les pirates pouvaient intercepter les données sans que les responsables chinois le sachent nécessairement. D’autres parties de l’application, comme son service de messagerie intégré, n’ont pas réussi à chiffrer les métadonnées, ce qui permet aux propriétaires de réseaux sans fil ou de télécommunications de détecter facilement quel téléphone envoyait un message à un autre et à quelle heure.
« Toutes les informations que vous transmettez peuvent être interceptées, en particulier si vous êtes sur un réseau non fiable comme un café ou un service Wi-Fi d’hôtel », a déclaré Jeffrey Knockel, chercheur associé au Citizen Lab et l’un des auteurs du rapport. Les informations sensibles collectées de cette manière pourraient être utilisées pour le vol d’identité, a ajouté le Dr Knockel.
Il n’est pas clair si les failles de sécurité étaient intentionnelles ou non, mais le rapport a émis l’hypothèse qu’un cryptage approprié pourrait interférer avec certains des outils de surveillance en ligne omniprésents en Chine, en particulier les systèmes qui permettent aux autorités locales d’espionner les téléphones utilisant des réseaux sans fil publics ou des cybercafés. Pourtant, les chercheurs ont ajouté que les failles n’étaient probablement pas intentionnelles, car le gouvernement recevra déjà des données de l’application, il ne serait donc pas nécessaire d’intercepter les données pendant leur transfert.
« En utilisant l’application, vous envoyez déjà des données directement au gouvernement chinois », a déclaré le Dr Knockel.
L’application comprenait également une liste de 2 422 mots-clés politiques, décrits dans le code comme « illegalwords.txt », qui fonctionnaient comme une liste de censure de mots-clés, selon Citizen Lab. Les chercheurs ont déclaré que la liste semblait être une fonction latente que la fonction de chat et de transfert de fichiers de l’application n’utilisait pas activement.
Les listes de mots censurés sont courantes dans les applications de médias sociaux chinois et fonctionnent comme une première ligne de défense dans un système de censure à plusieurs niveaux conçu pour empêcher la propagation de sujets politiques indésirables.