TousAntiCovid : des statistiques beaucoup trop détaillées selon des chercheurs en sécurité
Une faille dans TousAntiCovid fragilise la confidentialité de l'application de traçage des contacts, ce qui pourrait permettre de déterminer le statut de santé et l'identification de certains utilisateurs. Il faut souligner d'emblée que le risque demeure limité, mais il existe comme l'ont démontré des chercheurs en sécurité de l'Inria qui dévoilent leur découverte à cette adresse. En attendant un correctif, il est toujours possible de s'en prémunir en désactivant l'option Statistiques et mesure d'audience des paramètres de l'app.
Une des difficultés de TousAntiCovid est de regrouper plusieurs applications en une seule : le traçage des contacts ROBERT, le traçage des contacts par code QR Cléa (deux protocoles qui ont pour objectif commun de minimiser les données), le wallet pour le pass sanitaire et un convertisseur de certificats.
Toutes ces fonctions se partagent une partie de l'état du système (journaux d'événements, minuteries qui déclenchent les requêtes de statuts ainsi que les tokens d'autorisation). Ce sont autant d'opportunités d'attaques pour les plus mal intentionnés. À tout cela s'ajoute un mécanisme qui génère des statistiques afin d'en évaluer l'utilisation et son efficacité depuis le mois de juin.
Cette collecte pose problème, comme le résume Gaëtan Laurent dans ce fil Twitter. TousAntiCovid envoie régulièrement sur le serveur des statistiques générales ainsi qu'un journal d'événements (log) très détaillé enregistrant la plupart des actions de l'utilisateur.
L'app génère plusieurs types de données censées rester cloisonnées : le traçage Bluetooth lié à un pseudonyme (identifiant ID dans la spécification ROBERT), les événements applicatifs (identifiant UUID généré à l'installation de l'application) et les événements de santé qui ne sont liés à aucun identifiant pérenne mais qui présentent des horaires précis. C'est en croisant ces événements que des fuites de données apparaissent.
Les chercheurs ont déterminé qu'il y avait plusieurs manières de « reconstruire » une correspondance entre ces données, par exemple en recoupant les scans de plusieurs utilisateurs réalisés en même temps et au même endroit. Il y a par exemple le protocole Cléa qui cesse de synchroniser ses données lorsqu'un utilisateur se signale positif, alors que le protocole ROBERT poursuit ses envois de données. Par un jeu de devinette, il devient alors possible de déduire que tel utilisateur a été testé positif à la Covid.
Ce que le rapport souligne, c'est que si des barrières empêchent le croisement des données dans TousAntiCovid, elles ne sont pas suffisantes. Pour éviter un suivi potentiel, on peut toujours désactiver le réglage Statistiques et mesure d'audience. Les chercheurs proposent de réduire le niveau de détails des statistiques (une précision d'une heure ou d'une journée suffit pour l'analyse statistique, plutôt qu'à la demi-seconde), ou encore en supprimant des événements.
@Steve Molle
Et encore fais de recherche sur la carte d'identité numérique promu par l'EU et la poste. Ils poussent pour créer des ID2020, ou une personne aura tout centraliser(passcovid, carti identité, rum sécu, carte bancaire etc). Si c'est pas du.futur controle social à la Chinoise. Et la cerise sur le gateau , la région rhone alpes auvergne, installe des caméra IA pour surveiller
https://actu.fr/politique/en-auvergne-rhone-alpes-laurent-wauquiez-veut-experimenter-la-reconnaissance-faciale_43550738.html
@morpheusz63
Et en quoi ce sont des mauvaises choses? 😂
@sachouba
Je me plains du viol du secret médical en contraingnant une personne à montrer son dossier médical pour boire un café.. libre à vous ou à d'autre de donner votre consentement pour divilguer votre intimiter sur un logiciel de média social qu'une agence à 3 lettres ou google peut récolter vos data.
@raoolito
Et ils utilisent des vpn 😂🤣😆
Put… mé kesskifoutt les mecs chargés d’installer les stands à popcorn, barbecue et boissons ?
@Sindanárië
« Les mecs »
Si c’est une nana ça passe?😅
@romainB84
Les mecs, c’est mieux pour installer les stands à Pizzas !
@Malouin
Tant pis alors ^^😅. Quand je peux rendre service 🤣
@Sindanárië
Y a eu de la diversification 😉
Il fut une époque où il n’y avait que du pop-corn
Next… le food truck !
Pourquoi je ne suis pas surpris ?
Ouais enfin, faut avoir accès aux différentes données que remonte l’app. Qui a accès à toutes ces données? pour ensuite passer des heures (à se faire chier) à tenter de faire des recoupements.
Ces chercheurs, on leur a mis à dispo l’ensemble des données sur un plateau pour voir justement il y a moyen de les exploiter.
Je reste donc dubitatif sur la possibilité (réelle) d’y avoir accès et ensuite en tirer qqchose.
@julien74
Lol avec du langage python, base de donnée sql, vous obténer ce que vous voulez, et sans faire d'efforts, encore une fois si vous n'etes pas dev ou quelqu'un qui programme, cela peut vous semblez impossible ou compliquer.. vous croyez que le fichier fraude de la sécu ce traite comment dans ce pays ? Un fichier excel.
@morpheusz63 les fraudes sont traitées depuis un logiciel de créances 🙄
@Nirkoz
Tu es sûre de ton coup? J'ai bossé dans plusieurs organismes lié à l'État, et à chaque fois j'ai été frappé par l'inefficacité des logiciel maison concéder par le gouvernement. L'histoire de la feuille excel date d'il,y a moins d'An. Je suis curieux si ta le nom
@morpheusz63 je travaille à la CPAM au service informatique et nous sommes à la charge d’une application de gestion des créances pour les fraudes. Et celle-ci existe depuis 2017
@morpheusz63
« J'ai bossé dans plusieurs organismes lié à l'État, »
Tu es donc comme (Q)annon, le super complotiste qui a bossé (dans sa tête) pour les renseignements militaires us ?
Tu fumes aussi ? (Attention, il y a une célèbre référence culturelle cachée ici)
Une autre solution 👇🏼
https://covidpass.marvinsextro.de/fr-FR
Les mêmes qui critiquent sont souvent ceux qui utilise des réseau sociaux gratuits. Dans ce cas la marchandise c’est eux avec les précieuse données récoltées.
Mais qui installe ça ? 😭😭😭😭😭
@milka
Moi 💪
Y’a pas mort d’homme. Il s’agit de log d’utilisation, toutes les app font pareil en fait
Pages