Covid-19 : sécurité et confidentialité des applications de tracing dans 30 pays

Les deux piliers de la sécurité sont l'identification des menaces et la remédiation. Voici une étude portant sur 30 applications nationales destinées au suivi de la Covid-19 dans le monde, y compris StopCovid.

Bien que cela semble évident lorsqu’on l’énonce, il est essentiel d’examiner l’écosystème de la sécurité mobile en prenant en considération deux facteurs, l’identification des menaces et la remédiation. Lors de l’évaluation d’une solution, il faut examiner de près toutes les mesures de sécurité proposées pour contrecarrer les attaques mais les capacités de détection sont souvent négligées. Cette approche est ancrée dans les méthodes de sécurisation des ordinateurs de bureau où une approche statique de protection était au cœur de la démarche.

Cette logique s’estompe face à un paysage de menaces en constante évolution qui vise aujourd’hui directement les terminaux mobiles. Fixer des limites sans une visibilité claire sur les menaces serait improductif et engendrerait beaucoup de frustration pour les utilisateurs mobiles. C’est pourquoi les capacités de détection jouent un rôle décisif dans la protection des utilisateur mobiles, et ce de manière tout aussi égale que les capacités de remédiation.

Vous avez plus de risques avec vos données avec les applications qu’avec Stopcovid :

Actualités

• 84% des applications traitent la géolocalisation des utilisateurs, 33% les informations de contact, 16% les enregistrements audio et vidéo
• 43% des connexions ne sont pas sécurisées
• 29 vulnérabilités en moyenne

Sociales

• 57% traitent la géolocalisation des utilisateurs, 51% les enregistrements audio et vidéo, 40% les informations de contact
• 39% des connexions ne sont pas sécurisées
• 31 vulnérabilités en moyenne

Fitness

• 83% traitent la géolocalisation des utilisateurs, 40% les informations de contact, 23% les enregistrements audio et vidéo
• 44% des connexions ne sont pas sécurisées
• 33 vulnérabilités en moyenne

Gaming

• 96% traitent des informations sur le terminal, 62% la géolocalisation des utilisateurs, 40% des informations sur les contacts
• 39% des connexions ne sont pas sécurisées
• 31 vulnérabilités en moyenne

Classement des applications de tracing contact dans le monde réalisé par Pradeo.

L’application Stopcovid

La hantise, c’est que cette application soit hackée. Pradeo a passé en revue la version bêta. Bien que volumineuse en terme de code source, l’application s’articule autour de 3 fonctions principales destinées à mettre en relation les utilisateurs à proximité via le Bluetooth et transmettre ces informations. L’application s’appuie plus particulièrement sur le BLE (Bluetooth Low Energy) pour effectuer les interactions entre smartphone.

• L’application demande les permissions Bluetooth android.permission.BLUETOOTH et android.permission.BLUETOOTH_ADMIN ainsi que la géolocalisation.
• L’application identifie son smartphone via l’identifiant publicitaire.
• L’application ne réalise pas de connexions non sécurisées ou de chargement de code.

Elle compte moins de 10 vulnérabilités et n’intègre pas de librairie publicitaire ou réseaux sociaux. L’application StopCovid ne demande et n’envoie aucune donnée à caractère personnel. Une fonctionnalité de scan intégrée à l’application permet de numériser un QR Code fourni par le médecin en cas de diagnostic positif à la Covid-19.