Une app StopCovid très curieuse au final

le 16/06/2020, par Dominique Filippone, Sécurité, 552 mots

Attendue au tournant, l'application gouvernementale StopCovid envoie des données d'identification de tous les contacts croisés par une personne et non seulement celles de malades du Covid-19 cotoyés à moins d'un mètre pendant 15 minutes. Dans le même temps, l'Ordre des Médecins s'inquiète à propos de la conservation des données patients atteints du Covid-19.

Une app StopCovid très curieuse au final

Lorsque l'application StopCovid avait été annoncée par le gouvernement, seules les données d'identifiants des téléphones en contact pendant quinze minutes à moins d'un mètre d'une personne malade du Covid-19 devaient être remontées. Or, d'après Gaetan Leurent, chercheur en chiffrement à l'INRIA - qui a participé à la conception de StopCovid - il apparait que les données remontées aux serveurs du gouvernement soient loin de se limiter au fameux historique de proximité promis par le ministère de la Santé et le secrétariat d'Etat au Numérique. Alors que seuls les contacts avec un risque de transmission (moins d'un mètre pendant plus de 15 mn) étaient censés être pris en compte, ce sont en fait tous les contacts croisés pendant 14 jours qui sont considérés.

« J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de seconde avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur).  Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique. (Je me déclare évidement avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé). Ce comportement est aussi confirmé par les administrateurs StopCovid », prévient Gaetan Leurent.

Une solution de contournement non choisie

Contacté par Mediapart concernant ce constat gênant, un porte-parole du secrétariat d'Etat chargé du Numérique a tenté d'expliquer la situation : « tous les quarts d'heure, un nouvel identifiant est attribué à chaque appareil. Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d'un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu'il s'agit en réalité d'un seul, de 17 minutes, donc à risques. » Pour éviter tout souci, Gaetan Leurent pense quant à lui que des moyens simples auraient pu être mis en oeuvre pour limiter le problème : « Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d'identifiant ».

Cette découverte arrive au plus mal : alors que le nombre de téléchargements de StopCovid est loin de crever les plafonds (1,5 million en une quinzaine de jours), jusqu'à présent seule « une poignée » de signalements de malades du Covid-19 ont été remontés d'après les dernières données gouvernementales alors que parallèlement le nombre de clusters s'est multiplié, sans heureusement toutefois faire repartir l'épidémie à ce stade. Mais le pire pourrait venir : le 15 juin, l'Ordre des médecins a alerté sur la conservation des données des patients atteints du Covid-19 par l'Etat dans les fichiers SIDEP et AmeliPro. « L'Ordre des Médecins s'inquiète du revirement du gouvernement dans le cadre de l'article 2 du projet de loi 3 077 organisant la fin de l'urgence sanitaire. Cet article 2 prévoit une durée de conservation supérieure à trois mois pour certaines données collectées aux fins de lutter contre l'épidémie de Covid‑19 sans débat parlementaire alors que la situation sanitaire est en voie d'extinction », indique l'institution dans un communiqué ».

Sécurité à la carte avec Mc Afee Mvision Marketplace

Si McAfee a classiquement annoncé des mises à jour de ses solutions de sécurité lors de son événement virtuel Mpower Digital 2020, le plus intéressant est peut-être l'arrivée de sa plateforme composable...

le 13/11/2020, par Serge LEBLAL, 530 mots

Fyde rejoint Barracuda Networks

En ajoutant les capacités d'accès réseau Zero Trust de Fyde, Barrucada Networks renforce sa plate-forme périphérique de service d'accès sécurisé CloudGen. Afin de renforcer ses propres capacités en solutions...

le 12/11/2020, par Serge Leblal avec IDG NS, 577 mots

S'inspirer des cyber-commandos israéliens

Tous les pays essayent de préparer leurs habitants à la citoyenneté numérique. Avec ses cyber-commandos, Israël excelle en la matière. Quels enseignements pouvons-nous en tirer ? Il y a beaucoup à apprendre...

le 10/11/2020, par Nick Booth, IDG NS (adapté par Jean Elyan), 1240 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...