@RDNE Stock project
Le Citizen Lab de l’Université de Toronto, qui avait notamment montré toute l’étendue de son expertise technique lors des révélations du logiciel espion Pegasus, a découvert des failles de sécurité critiques dans la majorité des applications de pinyin chinois, qui est l’une des méthodes les plus utilisées par la communauté chinoise pour transcrire le mandarin en alphabet latin.
Sur les neuf d’applications analysées – Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo, et Xiaomi – huit souffraient de vulnérabilités critiques permettant au Citizen Labs de consulter en clair les saisies claviers des utilisateurs lorsqu’elles transitaient dans le cloud.
Ces vulnérabilités pourraient impacter plus d’un milliard d’utilisateurs à travers le monde. Compte tenu du périmètre de ces vulnérabilités, des informations sensibles saisies par les utilisateurs sur leur clavier de smartphone, de la facilité avec laquelle ces failles ont pu être découvertes, et au regard de failles similaires ayant déjà été exploitées par les cinq yeux ou Five Eyes (l’alliance des services de renseignement de l’Australie, la Nouvelle-Zélande, le Royaume-Uni, les États-Unis et le Canada), il est possible que ces données alimentent des programmes de surveillance à grande échelle.
Suite aux découvertes du Citizen Labs, la majorité des vendeurs d’apps a fait le nécessaire pour corriger les failles connues, mais certaines apps restent encore vulnérables.
Pourquoi utiliser une application de pinyin chinois?
Contrairement à l’alphabet latin, composé de 26 lettres, le mandarin possède plusieurs dizaines de milliers de sinogrammes, qui ne peuvent naturellement pas être affichés ensemble sur un écran, encore moins un écran de smartphone. Il existe bien des alternatives comme la diction vocale ou la reconnaissance par écriture manuelle, mais la méthode pinyin est la plus utilisée avec 76% des utilisateurs chinois, pour des questions pratiques.
Pourquoi ces applications sont-elles particulièrement vulnérables?
La plupart de des applications populaires proposent des services dans le cloud comme la recommandation et l’autocomplétion, ce qui met à risque les données lorsqu’elles transitent sur le réseau, d’autant plus que les données sont le plus souvent transmises en clair ou alors mal sécurisées et mal encryptées par des solutions propriétaires. Les claviers installés en local par défaut par les fabricants ne constituent pas nécessairement une protection ultime, comme l’a démontré le Citizen Labs qui a retrouvé des failles similaires dans les claviers installés localement chez Honor, OPPO, et Xiaomi. Hors, en 2023, Honor, OPPO et Xiaomi détenaient à eux trois plus de 50% du marché du smartphone en Chine.
Ça pourrait vous intéresser :
Huit vendeurs sur neuf connaissent des failles. Quel vendeur s’en est sorti le mieux ?
Huawei a été le seul vendeur à ne pas souffrir de faille de sécurité connue lors du transfert de donnée de saisie clavier vers le cloud. L’utilisation généralisée du protocole TLS semble avoir protégée les saisies du clavier.
Comment expliquer que des vendeurs indépendants puissent commettre des erreurs semblables aussi critiques?
La piste d’une porte dérobée imposée aux vendeurs par le gouvernement chinois pour surveiller ses concitoyens ne semble pas la piste à privilégier. En effet, le gouvernement a d’autres moyens de surveillance, car toutes les données transitent par des serveurs chinois. De plus, les failles découvertes auraient pu être exploitées non seulement par le gouvernement chinois mais aussi et surtout par les autres services de renseignement étrangers, qui développaient déjà des capacités offensives à cet effet (voir le programme XKEYSCORE dévoilé lors des révélations Snowden). Il pourrait simplement s’agir d’une inertie plus grande de l’industrie à appliquer des standards de transmission sécurisées comme le TLS, combinée à une moindre pression de l’Etat Chinois et des chercheurs en sécurité sur les applications et les stores chinois.
Quelles précautions prendre si je souhaite protéger ma vie privée ?
Il est recommandé de basculer vers un clavier en local qui ne propose pas de services en ligne. Il est à noter que de toutes les applications testées, seules deux possèdent encore des failles critiques, Tencent QQ Pinyin et Honor.
La recherche du Citizen Lab est disponible ici.