Des doutes sur la sécurité de SwissCovid, basée sur l'API d'Apple et Google

Stéphane Moussie

lundi 15 juin 2020 à 09:51 • 49

En Suisse, la sécurité de l'application SwissCovid, qui fait l'objet depuis le début du mois d'une expérimentation auprès de certaines catégories de la population, pose question. L'Office fédéral de l'informatique et de la télécommunication et le Groupe d'intervention informatique de la Confédération ont jugé que l'application de traçage des contacts offrait un degré élevé de sécurité et de protection de la vie privée, rapporte l'agence de presse ATS.

Mais d'un autre côté, deux experts en cryptographie ont pointé un risque de piratage. D'après l'analyse de Serge Vaudenay, chercheur à l'École polytechnique fédérale de Lausanne (EPFL), et Martin Vuagnoux, de l'entreprise Base23, le problème touche l'API d'Apple et Google qui est exploitée par SwissCovid. Selon eux, « les données diffusées par Bluetooth peuvent être modifiées avec malveillance », ce qui peut conduire à des attaques en diffusant de faux cas positifs.

« Tout un chacun peut écouter les "postillons" Bluetooth que vous émettez. Même à plus de 10 mètres ou encore à distance via d'autres applications. Par exemple je peux les capter, les voir, les filtrer. Je détecte ceux qui sont associés à SwissCovid. Avec un bout de code, je peux les modifier et je peux les stocker et j'ai deux heures pour les émettre à d'autres endroits dans la ville », explique Paul-Olivier Dehaye, un autre expert suisse, à RTS.

Des malandrins pourraient exploiter cette vulnérabilité afin de diffuser des faux positifs à certains endroits afin de les faire fermer ou de faire isoler inutilement leurs employés.

L'EPFL, à l'origine de l'app SwissCovid mais aussi de la solution technique proposée par Apple et Google, et la Confédération ont déclaré à RTS que le risque était connu et allait être examiné. Un rapport est prévu à la fin de la phase d'expérimentation.

Par ailleurs, c'est cette semaine que l'Allemagne va lancer son application de traçage des contacts, a fait savoir le ministre de la Santé du pays. Développée notamment par Deutsche Telekom et SAP, elle sera basée sur l'API d'Apple et Google.

Source :

merci debione

MacGeneration

iGeneration

WatchGeneration

Services

Rejoignez le Club iGen

Des doutes sur la sécurité de SwissCovid, basée sur l'API d'Apple et Google

Actualités

Une offre pour votre Apple TV : Canal+ ressort son pack « 100% » à 19,99 €

iPhone : vers une communication plus cool ?

Concours : gagnez un écran BenQ, des chaises de bureau Sihoo et des abonnements au Club iGen

De Cartes à l’intelligence visuelle, iOS 27 préparerait une vague de nouveautés IA

Promo : l’iPad Air M3 passe sous les 530 € chez Amazon

Freecash, l’arnaque aux faux gains qui a grimpé jusqu’au sommet de l’App Store

Apple Pay : une faille liée à Visa et au mode transport express révélée en 2021 reste exploitable

Recherche, pub : Apple et Google poussent encore des apps de déshabillage par IA

Amazon lance un nouveau Fire TV Stick HD plus fin et plus rapide

Promo : les AirPods Pro 3 retombent à 199 €, leur meilleur prix

Lamp, l’application qui promet 100 € pour retrouver des véhicules volés

iOS 26.4 tire sa révérence : le retour en arrière est désormais impossible

La CSA accueille de nouveaux partenaires dont Garmin pour Aliro

Promo : le pack de 4 traqueurs compatibles Localiser à seulement 9,99 € (-50 %)

Vérification de l’âge en ligne : l’app de la Commission européenne est « techniquement prête »

Une nouvelle rumeur relance la piste de l’OLED pour le prochain iPad Air

Image du moment

Tests

Test du sac à dos Scapade AirPack, avec un traqueur Localiser et un cadenas TSA intégré

Test du Sonoff Basic Gen5 : la solution simple pour les va-et-vient avec Matter

Test de l’iPad Air M4 : le milieu de gamme qui s’essouffle

Test de l’iPhone 17e : un iPhone attachant

Test de la Smart Brick de LEGO : pas très smart et bien trop onéreuse

Test des BILRESA d’IKEA : des télécommandes correctes… à condition d’éviter Matter