Quelles vulnérabilités a révélées l'analyse de Swisscovid?
Swisscovid a plus d’une faille. Serge Vaudenay, professeur en cryptographie à l’EPFL, détaille les vulnérabilités qu’il a découvert dans l'application fédérale de contact tracing conçue pour lutter contre la propagation du Covid-19.
L'application Swisscovid a d’importantes failles de sécurité et pose problème en matière de confidentialité des données. Actuellement en phase test, cet outil de contact tracing a notamment été passé au peigne fin par des spécialistes de la cybersécurité. Dont Serge Vaudenay, professeur en cryptographie à l’EPFL, qui a soumis un rapport à la Computer Security Incident Response Team (CSIRT) de l'OFIT.
Joint par ICTjournal, le spécialiste pointe en premier lieu du doigt les risques liés à l'utilisation du Bluetooth. Des tiers pourraient en effet sans difficultés tracer les téléphones sur lesquels Swisscovid est installé. «L'application émet des identifiants qui sont répétés en permanence et changent toutes les 12 minutes. Dans ce laps de temps, un même numéro est répété environ 2000 fois. C’est énorme…», fait observer Serge Vaudenay. Ces caractéristiques rendent aisé le traçage d’un téléphone via un scanner Bluetooth de base.
Risque de recoupement des données
Swisscovid présente aussi des risques relatifs à la sphère privée des personnes diagnostiquées. Les utilisateurs sont identifiés à l'aide d’un pseudonyme, mais selon l’expert, le lien entre ce pseudonyme et l’identité de l'utilisateur pourrait être établi en le recoupant avec différentes données tierces. Cette vulnérabilité est spécifique à l'approche décentralisée sur laquelle Swsscovid est basée, note le chercheur de l’EPFL, qui au début du projet appelait les développeurs de l’app à adopter un système «ni centralisé ni décentralisé» à l’instar du protocole cryptographique de Diffie-Hellman.
Faux-positifs via des codes ou identifiants subtilisés
Quand un utilisateur est diagnostiqué porteur du virus, le médecin lui fournit un code à usage unique devant être saisi dans l’application, qui alertera alors les utilisateurs croisés récemment. Ces codes pourraient générer des faux-positifs, note Serge Vaudenay, notamment s’ils sont volés via le piratage du système utilisé par les médecins. Ou en corrompant un médecin ou une personne testée positive. Des faux-positifs pourraient par ailleurs provenir d'attaques par rejeu consistait à collecter des identifiants de personnes potentiellement malade (sur un lieu de dépistage par exemple) puis de les réinjecter ailleurs sur d'autres téléphones.
En outre, Swisscovid fait appel à des API d’Apple et Google. Le protocole de contact tracing de l’app y est implémenté, remettant en cause la nature totalement open source du code. Or, la garantie de l’accessibilité publique du code source de l’app est explicitement mentionnée dans la base légale approuvée récemment par le Parlement.