Tous espionnés ou tous paranos ? C’est la question à un milliard de yuans qu’on se pose depuis qu’on a posé le pied sur le sol chinois pour couvrir ces JO d’hiver. Même un peu avant en fait, depuis qu’on a dû télécharger l’application My2022, courant janvier, condition nécessaire pour avoir le droit de pénétrer dans la bulle sanitaire chinoise.

En effet, depuis plusieurs semaines, des spécialistes en informatique ont alerté les participants aux Jeux sur les possibles failles de sécurité de cette application censée, à la base, centraliser les informations sanitaires et nous simplifier la vie une fois sur place (infos sur les services de bus, service de traduction, etc.), mais qui servirait aussi aux autorités de Pékin pour nous espionner 24 heures sur 24.

Le 26 janvier, la psychose est même montée d’un cran quand Jonathan Scott, un étudiant-chercheur américain, autoproclamé meilleur hacker au monde, a affirmé que « tout l’audio des athlètes olympiques [était] collecté, analysé et sauvegardé sur des serveurs chinois à l’aide d’une technologie utilisée par une entreprise d’intelligence artificielle placée sur liste noire par les Etats-Unis ». Il n’en fallait pas plus pour que, dans un contexte de tension extrême entre la future première puissance mondiale et les pays occidentaux, USA en tête, tout le monde se mette à claquer des dents à l’idée que Big Brother observe nos moindres faits et gestes (et paroles).

La théorie du hacker ne fait pas recette

Face à cette éventualité, Olivier Blazy répond qu’il faut rester prudent. Pour ce professeur à Polytechnique et spécialiste de cybersécurité, « il est toujours légitime d’avoir des suspicions quand on installe des applications en provenance de Chine parce que, généralement, ces apps-là font beaucoup plus que ce qu’elles sont censées faire. Elles essayent fréquemment d’installer des spywares et des moyens d’écoutes dans nos téléphones ou nos ordinateurs pour exfiltrer des informations, alors que ce n’est pas du tout le but affiché au départ ». Mais si le doute est permis quant à la bonne fois des concepteurs de l’application My2022, il l’est tout autant sur la qualité des travaux de notre hacker américain.

Nombreux sont les spécialistes à remettre en cause le bien-fondé de ses accusations ou, tout du moins, la qualité de son expertise. Après avoir dans un premier temps cru en la bonne foi de Jonathan Scott, Olivier Blazy a poussé plus en avant ses recherches et nous a recontactés à notre arrivée en Chine.

«  « La communauté infosec [informatique et sécurité] est sceptique car il fournit des données mais il manque pour chacune d’elles le détail qui permettait de vérifier ce qu’il dit, nous écrit-il. En fait, je pense qu’il a trouvé des choses qui pourraient servir à faire de la surveillance, mais il n’a pas avancé de preuves tangibles que ces éléments servent effectivement (…) Il semblerait quand même qu’en grande partie, cette personne ait voulu surfer sur une théorie du complot. Oui, il y a des choses étranges dans l’app. Mais rien qui permet d’affirmer à 100 % qu’ils en font un usage volontairement hostile. »  »

Pour en avoir le cœur net, nous avons tenté de joindre ce lanceur d’alerte pour lui relater nos échanges avec l’universitaire français et lui proposer de s’expliquer plus en détail. Après nous avoir renvoyés vers un article de BBC News intitulé « Le FBI demande des téléphones temporaires pour les athlètes olympiques », celui-ci nous a posté des captures d’écran de ces échanges avec un autre spécialiste en IT, pour prouver le sérieux de ses analyses. Le tout accompagné du message suivant : « Je sais qu’il y a plein de sceptiques et de haters qui remettent mes affirmations en question, j’ai donc échangé avec un ingénieur en sécurité informatique et il confirme mes craintes ».

Relancé sur le sujet, celui-ci n’a plus donné signe de vie depuis. Il faut dire qu’il a d’autres chats à fouetter. En remontant son fil Twitter, Scott semble s’être donné pour mission de répondre à tous ses détracteurs, quitte à en menacer certains de poursuite judiciaire. Nos connaissances en informatique s’arrêtant aux cours de M. Le Cunff en cours de techno au collège, on a décidé de ne pas entrer à notre tour sur le ring.

2.400 mots-clés sous surveillance

Ce qu’on peut dire en revanche, c’est que si My2022 n’est peut-être pas le logiciel espion présenté par Jonathan Scott, elle n’en reste pas moins suspicieuse à bien d’autres égards. Olivier Blazy : « L’application fait appel à iFlytek [pour gérer la fonctionnalité de traduction vocale de l’app] qui est une start-up spécialisée en intelligence artificielle et pilotée depuis la Chine. Or cette start-up a beaucoup fait parler d’elle quand le MIT, qui avait un contrat avec elle, a mis fin à leur collaboration après avoir découvert les usages détournés qu’elles pouvaient faire avec sa technologie ». Cette firme a depuis été bannie par le département du commerce américain et placée sur liste noire pour son implication dans la surveillance du peuple Ouïghour.

Autre source d’inquiétudes, les révélations du très sérieux Citizenlab, un laboratoire de recherche réputé de l’Université de Toronto, qui a mis en lumière des défaut de sécurité dans la gestion des données (sensibles) que nous avons renseignées dans l’application depuis bientôt trois semaines (parcours vaccinal, numéro de passeport, historique de voyage pour arriver en Chine). Les experts canadiens ont également révélé que My2022 contiendrait des fonctionnalités permettant de signaler les contenus « politiquement sensibles » qui pourraient être tenus sur la fonctionnalité de discussion de l’application. 2.400 mots-clés (du genre « Ouïghours », « dictature », « Peng Shuai ») seraient ainsi repérés et transmis à des serveurs chinois sans qu’on sache exactement ce que cela engendrerait pour les personnes ayant prononcé ces mots interdits.

Prudence avec l’appli… et gare aux peluches !

Interrogé avant son départ pour Pékin, le fondeur Lucas Chanavat assure faire « relativement attention » à ces menaces. « Après, on a la chance d’avoir une dotation aux Jeux via un partenaire qui nous fournit un téléphone donc je vais en profiter pour l’utiliser et laisser le mien de côté, précise-t-il. Je vais quand même prendre mon ordi mais ce n’est pas sûr que je l’utilise beaucoup. Je serai surtout sur ma console (rires) ! ». De leur côté, les délégations ont décidé de se prémunir de toute intrusion malveillante pendant les Jeux et nombreuses sont celles qui fournissent en effet des ordinateurs et des téléphones temporaires à leurs athlètes. Les Australiens sont carrément venus avec leur propre réseau wifi afin d’éviter tout risque d’espionnage.

« Ce sont des mesures de précaution relativement classiques, analyse Olivier Blazy. C’est aussi ce qu’on nous conseille à nous, chercheurs, quand on part à l’étranger. C’est rassurant, ça prouve qu’il y a un petit niveau de méfiance du côté des délégations. » Au fil de la discussion, l’expert en cybersécurité met également en garde les délégations contre les éventuels cadeaux que pourraient leur faire les organisateurs.

A mi-chemin entre GoldenEye et OSS 117, l’anecdote est croustillante : « On a déjà vu des peluches offertes avec des micros espions dedans pour écouter ce qu’il se disait. C’est tout bête, ce sont des techniques d’espionnage qui existent depuis très longtemps et il n’y a aucune raison que ça s’arrête maintenant qu’on passe au numérique vu que ça marche très bien. » Au fait, c’est quoi la mascotte des JO ? Ah oui, un joli petit panda tout mignon. Ça se décline bien en peluche, ça, paraît-il.