Un récent rapport provenant de The Citizen Lab, un groupe de recherche universitaire torontois, a révélé des failles de sécurité majeures dans une application de clavier chinois.
Les résultats montrent que les frappes des utilisateurs enregistrées sont susceptibles d’être décryptées par des dispositifs intrusifs, tandis que les données saisies par les utilisateurs sont transmises à des serveurs en Chine continentale.
Le rapport publié le 9 août analysait la méthode de saisie Sogou de Tencent, l’application la plus utilisée de saisie chinoise, avec plus de 500 millions d’utilisateurs actifs mensuels représentant 70 % de la part de marché. L’application est compatible avec plusieurs plateformes, dont Windows, Android et iOS, et les vulnérabilités de chaque version sont analysées dans un rapport.
L’application Sogou Input Method « n’a pas réussi à sécuriser correctement la transmission de données sensibles, y compris les touches tapées par ses utilisateurs, ce qui permet à n’importe quel réseau de récupérer ces données », ont déclaré les chercheurs.
Les chercheurs ont souligné que ces problèmes n’affectent pas seulement les Chinois résidant en Chine, mais aussi les utilisateurs d’autres pays. Selon les estimations de l’étude de marché de Sogou, le site web de l’application est visité par des utilisateurs du monde entier. Environ 3,3 % des visites proviennent des États-Unis, près de 1,8 % de Taïwan et plus de 1,5 % du Japon.
Après un échange, comprenant une lettre de réponse reçue le 4 juillet 2023 dans laquelle les développeurs de Sogou s’engageaient à remédier aux vulnérabilités, le Citizen Lab de l’université de Toronto a confirmé que les risques de sécurité identifiés avaient été corrigés sur toutes les plates-formes avant le 20 juillet 2023.
Cependant, les chercheurs ont souligné que même si les vulnérabilités ont été corrigées, l’application Sogou continue d’envoyer le contenu tapé à des serveurs basés en Chine, ce qui soulève des problèmes de sécurité persistants quant à l’accès potentiel des autorités chinoises aux informations des utilisateurs.
« Les utilisateurs à haut risque de Sogou devraient être prudents, car le contenu tapé pourrait inclure des informations sensibles ou personnelles », ont déclaré les chercheurs.
« Veuillez ne pas les rendre publiques »
Le Citizen Lab a fait part de ses conclusions à Tencent dans une lettre datée du 31 mai 2023. Dans ce document, il a donné aux développeurs de Sogou un délai spécifique pour répondre aux préoccupations et corriger les vulnérabilités découvertes par les chercheurs avant de rendre leurs conclusions publiques.
Le 25 juin, The Citizen Lab a déclaré avoir reçu un message du Tencent Security Response Centre (TSRC), indiquant que « ce problème ne présentait pas un risque de sécurité faible ou peu élevé ». Moins de 24 heures plus tard, ils ont reçu un autre message corrigeant le précédent et demandant aux chercheurs de ne pas communiquer le problème publiquement.
« Désolé, ma réponse précédente était erronée, nous nous occupons de cette vulnérabilité, veuillez ne pas la rendre publique, merci beaucoup pour votre rapport », indique le message de la CRST daté du 25 juin 2023.
En outre, après avoir informé les développeurs de Sogou de leurs découvertes, les chercheurs ont constaté que le domaine de messagerie de The Citizen Lab avait été bloqué en Chine, ce qui rendait difficile la réception d’échange avec Tencent.
« Plus précisément, nous avons constaté que le pare-feu national de la Chine injectait des réponses DNS [Système de nom de domaine] anormales en réponse aux requêtes pour ce domaine », ont déclaré les chercheurs. « Bien que ce comportement d’injection ait pu être destiné à empêcher les utilisateurs chinois d’accéder à notre site web, il entrave également la capacité des utilisateurs chinois à nous envoyer des courriels, même si ces courriels ont été sollicités. »
Parmi leurs recommandations, les chercheurs ont exhorté Sogou, ainsi que d’autres développeurs de logiciels en Chine, à adopter des implémentations de chiffrement bien supportées, telles que TLS, plutôt que d’utiliser un code de conception « maison ».
« Les attaques décrites dans ce rapport montrent comment les écoutes clandestines peuvent déchiffrer ces données en transit. Cependant, même si les vulnérabilités sont résolues, ces données resteront accessibles aux opérateurs de Sogou et à toute personne avec laquelle ils partagent ces données », ont déclaré les chercheurs.
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.
