TousAntiCovid : des statistiques beaucoup trop détaillées selon des chercheurs en sécurité
Une faille dans TousAntiCovid fragilise la confidentialité de l'application de traçage des contacts, ce qui pourrait permettre de déterminer le statut de santé et l'identification de certains utilisateurs. Il faut souligner d'emblée que le risque demeure limité, mais il existe comme l'ont démontré des chercheurs en sécurité de l'Inria qui dévoilent leur découverte à cette adresse. En attendant un correctif, il est toujours possible de s'en prémunir en désactivant l'option Statistiques et mesure d'audience des paramètres de l'app.
Une des difficultés de TousAntiCovid est de regrouper plusieurs applications en une seule : le traçage des contacts ROBERT, le traçage des contacts par code QR Cléa (deux protocoles qui ont pour objectif commun de minimiser les données), le wallet pour le pass sanitaire et un convertisseur de certificats.
Toutes ces fonctions se partagent une partie de l'état du système (journaux d'événements, minuteries qui déclenchent les requêtes de statuts ainsi que les tokens d'autorisation). Ce sont autant d'opportunités d'attaques pour les plus mal intentionnés. À tout cela s'ajoute un mécanisme qui génère des statistiques afin d'en évaluer l'utilisation et son efficacité depuis le mois de juin.
Cette collecte pose problème, comme le résume Gaëtan Laurent dans ce fil Twitter. TousAntiCovid envoie régulièrement sur le serveur des statistiques générales ainsi qu'un journal d'événements (log) très détaillé enregistrant la plupart des actions de l'utilisateur.
L'app génère plusieurs types de données censées rester cloisonnées : le traçage Bluetooth lié à un pseudonyme (identifiant ID dans la spécification ROBERT), les événements applicatifs (identifiant UUID généré à l'installation de l'application) et les événements de santé qui ne sont liés à aucun identifiant pérenne mais qui présentent des horaires précis. C'est en croisant ces événements que des fuites de données apparaissent.
Les chercheurs ont déterminé qu'il y avait plusieurs manières de « reconstruire » une correspondance entre ces données, par exemple en recoupant les scans de plusieurs utilisateurs réalisés en même temps et au même endroit. Il y a par exemple le protocole Cléa qui cesse de synchroniser ses données lorsqu'un utilisateur se signale positif, alors que le protocole ROBERT poursuit ses envois de données. Par un jeu de devinette, il devient alors possible de déduire que tel utilisateur a été testé positif à la Covid.
Ce que le rapport souligne, c'est que si des barrières empêchent le croisement des données dans TousAntiCovid, elles ne sont pas suffisantes. Pour éviter un suivi potentiel, on peut toujours désactiver le réglage Statistiques et mesure d'audience. Les chercheurs proposent de réduire le niveau de détails des statistiques (une précision d'une heure ou d'une journée suffit pour l'analyse statistique, plutôt qu'à la demi-seconde), ou encore en supprimant des événements.
Ça fait plus de 2 mois, qu'ils sont au courant dans le milieux de la cyber, encore une fois certains avez vu juste sur la sécu, de ces apps produit par le gouvernement. 👏👏👏👏
@morpheusz63
C’est pas pire que la liste interminable de trackers sur MacG 🤷♂️
Merci à la ténacité de ces chercheurs en sécurité ! En tout cas le risque reste apparemment très faible et seulement sur le statut de santé qui est trouvable de dix autres façons y compris en clair si on préfère la feuille de papier ou qu’on l’annonce sur tous les réseaux sociaux.
Ici encore les tout petits experts ala mord-moi-le-noeud nous disaient il y a encore quelques jours que non bien sûr que non, rien n’était récolté, croisé ou exploitable.
Y’a vraiment des gens qui ont installé cette daube de mouchard sur leur téléphone?
@KimoMac
Hélas je le crains. Aucun médecin autour de moi n’a installé cette daube. Chacun ses raisons de ne pas l’installer.
@Steve Molle
vous habitez dans une petit bled pour connaitre "tous les medecins" autour de vous ?
@raoolito
Laisse le dans ses délires…c’est mieux ainsi 😉 tu gagneras du temps comme ça 👍
@Gerrer
z'avez totalement raison 😔
bon, on partage ? 🍿
@raoolito
Avec plaisir 😉 sucré ou salé ?
bonne chance avec les spécimens avec qui t’as affaire…🤣🤣🤣
@Gerrer
depuis le beurre salé je ne peux plus en manger d'autres, c'est succulent 😛
nan mais je ne combattrais plus, la loi et la pression populaire feront le reste. Je "les" plains car ils se rendent bien compte qu'ils sont seulement un peu nombreux a aboyer ensembles sous reserve de mettre sous la meme bannière des gens n'ayant rien en commun et parfois meme opposés sur des sujets collatéraux...
trairons les comme d'autres avant eux, par l'ignorance
@raoolito
Faut les ignorer.tout simplement.un commentaire reste un commentaire. Que se soit ici ou ailleurs.c’est pas les commentaires qui vont diriger la vie ni changer ma façon de penser , d’aimer et d’acheter. Y’auras toujours des gens pour aimer et des gens pour critiquer.ainsi est fait l’être humain.ceux qui critiquent sont une minorité qui la plupart du temps utilisent des multi-comptes,pour faire genre ils sont nombreux alors que non enfaite.mais rare sont ceux qui vont avouer.😉n’est-ce pas ?
@Gerrer
tres probablement !
@raoolito
Finalement,ça va , t’as pas eu trop de problème je vois 🤔 tant mieux pour toi 🤣
@raoolito
Une bonne trentaine de médecins. La moitié d’hospitaliers, l’autre de libéraux.
@KimoMac
"Y’a vraiment des gens qui ont installé cette daube de mouchard sur leur téléphone?"
Oui, moi. J’ai même le widget avec le QR code.
@John McClane
Le QR code sur la Watch en accès avec complication c’est vraiment pas mal.
@julien74
Oui j’ai essayé mais les vigiles n’arrivaient pas à le scanner, du fait de sa petite taille.
@John McClane
« Oui, moi. J’ai même le widget avec le QR code. »
Collabo ! Comme moi, en fait ..
@IceWizard
😆
@John McClane
Youpi
@KimoMac
+ 1000 👍
@KimoMac
C’est pas une daube. L’app est bien faite même.
Ce qui est dérangeant c’est ce que l’état peut en faire.
@iPadProM1
Ça ne te dérange pas pourtant que Facebook et autre utilisent tes données alors pourquoi l’état si ? Parce que c’est l’état ? Et que l’état en France n’est pas super apprécié ? 🧐
Oui. 31 millions d'activations en fait
Quel est le risque mentionné ? De quoi parle-t-on ?
… Et quel est le rapport risque/bienfait !
L’Enfer est pavé de bonnes intentions…
Le fait de ne pas pouvoir croiser un numéro de sécurité sociale (ou le NIR) cause des milliers de morts tous les ans.
Tout comme il coute des milliards d’€ en surconsommation d’actes médicaux !
On pointe du doigt une situation qui ne peut être parfaite.
@Malouin
nan mais les memes personnes qui vont critiquer ici auront un profil facebook à jour, des photos partagées quotidiennement, utiliseront toujours flash, seront sous une ancienne version d'android d'ou ils rempliront leur instagram tout en chattant sur whatsapp et twitter..
faut pas chercher on est desormais dans le stade de la posture, tres loin d'une vision juste de la réalité..
@raoolito
+1000
On va avoir toutes les personnes « contre » se jeter à corps perdu sur cette News sans savoir eux même en quoi il y a un risque et s’il y avait une réelle porte ouverte… pour le gouvernement, bien sûr (pas un pirate informatique ça c’est pas grave 😉). Bonne soirée.
@Seb42
ah ca, connaitre qui on a rencontré hier est d'une importance sans prix pour le gouvernement, c'est un fait acquis :)
@Seb42
Je partage totalement.
Juste une histoire de posture et de cheveux coupés en 4 !
@raoolito
Et les chercheurs en sécurité qui ont découvert ces failles, ils ont aussi un profil Facebook à jour ?
Ou alors ils font partie du milieu autorisé à penser ?
@sachouba
vu votre commentaire,sur le fond comme sur la forme, je répond : seconde option et bye bye 👋
@sachouba
Je mange du 🍿, car cela dépasse l'entendement. Les gars ils connaissent rien en cyber sécurité ni en,data, ni en hacking ni en info tout court. Ils viennent contre dire des chercheur en sécu.…
@raoolito
Comparez des données personnelles de santé(secret médicales) et des photos ou des opinions sur les raison réseaux sociaux, c'st pareille? Bravo les progressistes de la startup nation.
@morpheusz63
Merci pour ce message. Ça rétablit la confiance dans l’´intelligence française. Ça commençait à être désespérant. Coincés que nous sommes entre Francis Lalanne et autres debilous d’un côté et les serviles décérébréss simili progressistes de la starteuuppp neuuution de l’autre.
@Steve Molle
"Coincés que nous sommes entre Francis Lalanne et autres debilous"
Donc vous confirmez que vous faite partie de ce groupe ! C’est gentil pour ceux qui avaient des doutes.
@ya2nick
Et en plus ILS ne savent pas lire.
@Steve Molle
Ok, j’aurais dû écrire:
"Coincés … entre Francis Lalanne et autres debilous"
Donc vous confirmez que vous faite partie de ce groupe ! C’est gentil pour ceux qui avaient des doutes.
C’eût été plus rigolo, vraiment désolé 😇
@ya2nick
Savoir lire et écrire.
@Steve Molle
Vous devez confondre lire et interpréter, et, écrire et s’exprimer. Francis lalanne, sortez de ce troll !
@morpheusz63
C'est plus facile de généraliser en affirmant que tous ceux qui se plaignent de problèmes de confidentialité publient leur vie sur Facebook que d'admettre que de telles failles pourraient potentiellement causer des soucis aux utilisateurs de TousAntiCovid (y compris à ceux qui n'ont pas Facebook...).
À première vue, je dirais que ça vient d'une peur d'être perçu comme un complotiste.
@sachouba
Je ne savais pas qu’il y avait tout le dossier médical dans TousAntiCovid. Pour moi, il n’y avait que le statut vaccinal pour le Covid, l’appli a été mis à jour ?
Donc pour causer des problèmes au utilisateur, c’est aller loin quand même
@hirtrey
Status vaccinal ou info de dernière PCR ou info de PCR après infection.
@hirtrey
Tu as lu l'article (et les articles sur la même actualité publiés ailleurs) ?
Les données remontées permettent de savoir si un utilisateur a eu le Covid, mais également, par recoupement, de déduire si plusieurs utilisateurs déjeunent régulièrement ensemble au restaurant par exemple, ainsi que leur identité.
@sachouba
Alors
Il faut avoir accès à l’ensemble des données.
Question: comment on y a accès (vraie question)?
Pour au final avoir une grosse présomption que parce que X et Y scannent un QR a qq secondes d’écart, ils sont ensembles.
Bazooka pour tuer une mouche je trouve.
@julien74
L'État ainsi que les acteurs privés qui participent au développement et à la maintenance de TousAntiCovid ont accès à ces informations – ce qui est déjà grave pour une application qui n'était pas censée permettre de suivre des individus.
Et on n'est pas à l'abri d'une faille de sécurité qui donnerait accès à ces données à des acteurs extérieurs.
@sachouba
J’avais exactement declaré ça il y a encore 8j…et quel déferlement de mépris et de haine de la part des petites frappes neo libérales adeptes de Darmanin & co.
@Steve Molle
« J’avais exactement declaré ça il y a encore 8j…et quel déferlement de mépris et de haine de la part des petites frappes neo libérales adeptes de Darmanin & co. »
Hydra approuve ce post !
Pages