Connect with us

L’application TousAntiCovid peut faire fuiter des données personnelles

Tech

L’application TousAntiCovid peut faire fuiter des données personnelles

L’application TousAntiCovid peut faire fuiter des données personnelles

Traçage de contact par Bluetooth, traçage de contact dans les lieux, gestion du pass sanitaire… L’application TousAntiCovid contient de plus en plus de fonctionnalités, et ce n’est pas forcément une bonne chose. Trois chercheurs viennent d’analyser la collecte de statistiques que le gouvernement a activée depuis juin dernier. Selon eux, cette dernière brique fonctionnelle casse le cloisonnement entre les différents usages et « met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles de traçage de contact Robert (traçage Bluetooth) et Cléa (traçage par QR-codes de lieux) », écrivent-ils dans un rapport.

A découvrir aussi en vidéo :

Jugée très bavarde, cette collecte de statistiques est déclenchée en fonction d’une série d’évènements horodatés, ce qui permet d’enregistrer la plupart des actions réalisées par l’utilisateur dans un journal. « En croisant les évènements du journal, les fuites de données apparaissent », souligne Gaëtan Leurent, l’un des trois chercheurs, sur Twitter. Ainsi, des amis qui déjeunent souvent ensemble dans les restaurants vont avoir des évènements de type « lieu visité » presque synchrones. Ce qui permettrait de déduire qu’ils sont allés ensemble dans ces lieux et donc de construire un graphe social.

En croisant les logs du serveur Robert — qui récolte les pseudonymes de traçage Bluetooth — avec les données du serveur de statistiques, il est possible de relier les pseudonymes avec l’identifiant UUID utilisé pour le journal des évènements. Le cloisonnement est réduit à néant.

ghCcQU

Mais il y a pire. Le journal d’évènements enregistre également l’utilisation du convertisseur de certificat qui contient des données nominatives. « S’il croise ces données avec les logs du convertisseur de certificat, il peut retrouver l’identité des utilisateurs », souligne Gaëtan Leurent.

j4dFjk

Au final, les trois chercheurs estiment que la copie est à revoir. La conception multifonctionnelle de l’application TousAntiCovid n’est pas satisfaisante, car les différents systèmes impliqués doivent être indépendants si l’on veut réduire le risque d’une fuite de données.

Source: Rapport technique

Continue Reading
You may also like...
Click to comment

You must be logged in to post a comment Login

Leave a Reply

More in Tech

To Top
Recherche.fr