Les athlètes olympiques qui se rendront en Chine pour les prochains Jeux d'hiver devraient utiliser des téléphones portables et des ordinateurs de location, et comprendre clairement qu'il n'y a "aucune attente en matière de sécurité ou de confidentialité des données" lorsqu'ils se déplacent en Chine.
C'est l'avertissement brutal du Comité olympique et paralympique américain avant les jeux du mois prochain à Pékin, où il existe un risque élevé d'infections par des logiciels malveillants et de compromission des données.
Les directives sont un rappel important aux entreprises que les voyages internationaux, même s'ils sont limités par la pandémie, présentent un danger clair et actuel pour les données sensibles de l'entreprise et la propriété intellectuelle.
«Aucune garantie de confidentialité ou de sécurité des données ne doit être faite, quelle que soit la technologie de sécurité utilisée. Supposons que chaque appareil et chaque communication, transaction et activité en ligne seront surveillés. Les appareils peuvent également être compromis par des logiciels malveillants conçus pour compromettre l'appareil et son utilisation future », a déclaré le comité dans un avis vu par SecurityWeek.
Il a recommandé qu'un "dispositif stérile" soit utilisé lors de l'entrée en Chine et, à la sortie, "le nettoyage et la destruction des informations sur le dispositif garantissent le plus haut degré de sécurité".
[ Événement virtuel: Sommet sur la résilience et la récupération des ransomwares – 26 janvier ]
Le comité a spécifiquement poussé la délégation américaine à utiliser des téléphones à graver et à essuyer et détruire soigneusement les appareils après utilisation en Chine.
"Les applications et les données sur les appareils mobiles importés en Chine doivent être nettoyées et les appareils sortis du pays doivent être effacés et détruits en raison du risque d'infection supplémentaire du réseau et des données par des programmes malveillants. L'utilisation de téléphones portables de location est privilégiée.
"Il est déconseillé d'introduire en Chine des appareils mobiles personnels (téléphones portables et tablettes)", a-t-il ajouté.
Le groupe a également recommandé l'utilisation d'"ordinateurs de location" et a averti que "la plus grande menace pour la sécurité est à la fois les données qui sont introduites en Chine ainsi que les programmes malveillants potentiels qui sont introduits".
À leur entrée en Chine, les voyageurs d'affaires et les athlètes doivent comprendre que les autorités chinoises ont le pouvoir d'inspecter ou de saisir tout appareil pour des raisons de sécurité pendant le traitement douanier. Bien que ces incidents soient rares, les olympiens doivent partir du principe que chaque SMS, e-mail, visite en ligne et accès aux applications peut être surveillé ou compromis.
"Il ne devrait y avoir aucune attente en matière de sécurité ou de confidentialité des données lors de l'exploitation en Chine", a averti le groupe, notant que l'utilisation de pare-feu, de technologies anti-malware et de cryptage est encouragée mais ne garantit pas une réelle protection.
[ LIS: Cinq signaux clés du buste russe REvil Ransomware ]
"Malgré toutes les garanties mises en place pour protéger les systèmes et les données qui sont amenés en Chine, il faut supposer que toutes les données et communications en Chine peuvent être surveillées, compromises ou bloquées."
Au minimum, il a déclaré que les machines fonctionnant sous Windows et macOS débarquant en Chine devraient être nettoyées des données personnelles et professionnelles et renforcées via un logiciel et des protocoles de sécurité appropriés au niveau du BIOS, de l'authentification et de l'application.
Les directives du Comité olympique surviennent quelques jours seulement après la découverte d'une « faille simple mais dévastatrice » dans le chiffrement de l'application MY2022 utilisée pour surveiller les infections COVID. L'application est obligatoire pour les athlètes, les journalistes et les autres participants aux jeux de Pékin et les experts en sécurité avertissent que la faille expose les informations de santé, les messages vocaux et d'autres données à des fuites.
Le Comité international olympique a répondu au rapport en disant que les utilisateurs peuvent désactiver l'accès de l'application à certaines parties de leurs téléphones et que les évaluations de deux organisations de cybersécurité anonymes "ont confirmé qu'il n'y a pas de vulnérabilités critiques".
Citizen Lab a déclaré avoir informé le comité d'organisation chinois des Jeux des problèmes début décembre et lui avoir donné 15 jours pour répondre et 45 jours pour résoudre le problème, mais n'a reçu aucune réponse.
Services Connexes: L'application obligatoire pour les Jeux olympiques chinois présente une faille de cryptage "dévastatrice"
Services Connexes: La Corée du Sud sonde la fermeture du cyberespace pendant la cérémonie des Jeux olympiques
Services Connexes: Des faux drapeaux sophistiqués plantés dans le logiciel malveillant Olympic Destroyer
Ryan Naraine est rédacteur en chef de SecurityWeek et animateur du populaire Conversations sur la sécurité série podcast. Il est journaliste et stratège en cybersécurité avec plus de 20 ans d'expérience dans le domaine de la sécurité informatique et des tendances technologiques.
Ryan a mis en place des programmes d'engagement en matière de sécurité dans de grandes marques mondiales, notamment Intel Corp., Bishop Fox et Kaspersky GReAT. Il est co-fondateur de Threatpost et de la série de conférences mondiale SAS. La carrière de Ryan en tant que journaliste comprend des signatures dans des publications technologiques majeures, notamment Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag et PC World.
Ryan est directeur de l'association à but non lucratif Security Tinkerers et conférencier régulier lors de conférences sur la sécurité à travers le monde.
Suivez Ryan sur Twitter @ryanaraine.
Mots clés: Source : https://www.securityweek.com/us-olympians-told-use-burner-phones-china
