Les testeurs du certificat Covid fédéral décèlent des failles
Lancé aujourd’hui 7 juin en phase pilote, le certificat Covid fédéral fait l’objet d’un test de sécurité public. Treize failles ont été signalées.
L'ordonnance sur les certificats Covid entre en vigueur aujourd’hui 7 juin. Et avec elle la mise en place progressive du système. Les premiers certificats sont délivrés dans le canton de Berne dans la cadre d’une phase d’essai. Ils seront à la disposition de l’ensemble de la population au plus tard à la fin du mois de juin, assure le communiqué de l’Office fédéral de l’informatique (OFIT) qui supervise le développement de la solution. «Ce système permet le raccordement aux systèmes informatiques existants (par ex., les systèmes utilisés pour la vaccination et les tests), de sorte qu'il est aussi possible d'établir des certificats numériques. La Confédération apporte son soutien aux cantons lors de l'introduction de la solution et pour les adaptations qui en découlent en matière d'organisation», explique l’OFIT.
Le système se décline en deux applications (stockage et vérification), disponibles gratuitement dans l'App Store d'Apple ou sur Google Play. Sur papier ou dans sa version électronique, le certificat est doté d’un code QR et d’un cachet électronique réglementé de la Confédération, qui permet d’en vérifier l’authenticité, l’intégrité et la validité. Les données personnelles ne sont pas ransmises à la Confédération.
Des vulnérabilités décelées
Développé avec trois partenaires techniques (ti&m, HIN et Ubique), le système fait l'objet d’un test de sécurité public depuis le 31 mai. En date du 4 juin, treize problèmes potentiels avaient été identifiés dans la liste publiée par le National Cyber Security Centre (NCSC). Elles sont en cours d'analyse. Les testeurs révèlent différents problèmes, dont par exemple l’utilisation de plusieurs composants basés sur des actions GitHub tierces non fiables. Il est également fait mention de mots de passe codés en dur et d'une vulnérabilité liées à JavaScript, qui s’avère activé par défaut dans les WebView affichés au sein des apps. Le site inside-it.ch rapporte que lors de la conférence de presse du 4 juin, le chef de l’OFIT Dirk Lindemann a précisé que ces vulnérabilités ne représentaient pas une menace sérieuse et qu'elles seraient corrigées.