SailPoint : L’application mobile officielle des Jeux olympiques de Pékin 2022 entachée de failles de sécurité, selon des chercheurs

janvier 2022 par SailPoint

« Pour ceux qui se rendent aux Jeux olympiques, demandez-vous sérieusement si vos équipements professionnels seront nécessaires pour le voyage. S’ils ne le sont pas, ne les apportez pas. [De plus, n’utilisez le Bluetooth qu’en cas d’absolue nécessité et le VPN devrait être obligatoire, qu’il s’agisse d’un signal Wi-Fi ou cellulaire. Pensez à vous déconnecter des applications d’entreprise sur votre téléphone. Renseignez-vous sur votre profil d’identité et envisagez une approche de "least privilege" pour les droits aux applications lorsque vous êtes en déplacement pour les jeux. » a déclaré Ben Cody, SVP Product Management, SailPoint.

En effet selon des chercheurs en cybersécurité canadiens, une application mobile obligatoire pour tous les participants aux Jeux Olympiques d’hiver de Pékin, le mois prochain, présente des failles de sécurité qui pourraient permettre à un pirate informatique de voler facilement des informations personnelles sensibles.

L’application My 2022, conçue en Chine, sera utilisée pour surveiller la santé des participants et faciliter le partage d’informations avant et pendant les Jeux de 2022. Des techniciens de Citizen Lab, un groupe de recherche sur la cybersécurité et la censure axé sur les droits de l’homme à l’Université de Toronto, ont constaté que l’application ne parvenait pas à authentifier l’identité de certains sites Web, ce qui laissait le champ libre aux attaquants pour le transfert de données personnelles.

Selon le manuel Pékin 2022 destiné aux athlètes et aux officiels, indique que l’application My 2022 est destiné à assurer la sécurité de tous les participants aux Jeux et "est conforme aux normes internationales et à la loi chinoise"

Les chercheurs ont découvert que la fonction de messagerie de l’application transmettait certaines données clés sans aucun chiffrement ni aucune sécurité. Les métadonnées, y compris les noms des expéditeurs et des destinataires des messages et les identifiants de leurs comptes d’utilisateur, peuvent être lues par n’importe quelle oreille indiscrète exploitant un point d’accès Wi-Fi, un fournisseur d’accès à Internet ou une société de télécommunications, ont-ils ajouté.