Des applications tierces peuvent accéder aux données sensibles de Swisscovid
Un chercheur a découvert un bug dans le système de notification des expositions de Google utilisé par Swisscovid et d’autres apps de traçage. Certaines applications privilégiées installées sur les smartphones Android peuvent accéder à des données sensibles et en déduire les personnes infectées ou exposées. Le gouvernement néerlandais à décider de suspendre son app, le temps qu’un correctif soit déployé chez tous les utilisateurs Android.
Google est en train de mettre à jour son système de notification des contacts à risque sur tous les smartphones Android. La mesure fait suite à la découverte d’une vulnérabilité par AppCensus qui a audité le système sur demande du ministère américain de la sécurité intérieure.
Expert de la société spécialisée dans la sécurité, Joel Reardon a constaté que l’outil sur lequel s’appuie de nombreuses apps de traçage des contacts Covid-19 - dont la solution suisse Swisscovid - enregistre des données sensibles dans les logs systèmes des appareils. Le hic c’est que certaines applications préinstallées sur les appareils Android, notamment celles de fabricants de smartphones et d’opérateurs télécoms, peuvent accéder à ces logs.
Le bug, qui concerne Android et pas iOS, contredit la promesse que personne n’a accès aux données très critiques des apps de traçage et donne de l’eau au moulin de ceux qui critiquent le pacte dangereux conclu entre les gouvernements et Apple/Google dans le domaine.
Suite à la découverte, le ministère de la santé néerlandais a décidé de désactiver temporairement son application CoronaMelder. L’OFSP n’a pour l’heure communiqué aucune mesure similaire pour l’app Swisscovid et n’a pas répondu aux questions de la rédaction d’ICTjournal sur le sujet. (Mise à jour du 30.04.2021 à 14h00: L'OFSP indique à la rédaction qu'il est au courant de cette vulnérabilité et que le correctif est en cours de déploiement par Google).
Pour rappel, les apps de suivi des contact de plusieurs pays reposent sur l’API de «notification des expositions» développée à la hâte par Google et Apple au printemps 2020. C’est cet outil tournant en arrière-plan qui sert à émettre des codes aléatoires via Bluetooth, et à enregistrer les codes d’autres utilisateurs à proximité. En comparant les codes perçus et les codes de cas positifs, les apps de traçage évaluent le risque que l’utilisateur a été exposé. La solution présente l’avantage de ne pas employer la localisation et de ne pas partager les données de l’utilisateur, qui restent sur l’appareil.
Sauf qu’avec la vulnérabilité découverte par Joel Reardon, des apps tierces installées sur le smartphone ont pu et peuvent accéder à ces codes et pourraient en déduire les utilisateurs positifs ou ayant été exposés à des cas positifs. Joint par ICTjournal, Joel Reardon ajoute qu’en couplant ces informations avec des bases de données de localisation adresses MAC, il serait même possible d’inférer la localisation des utilisateurs.
