IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les recommandations de l'ANSSI pour sécuriser StopCovid : utilisation d'un coffre-fort, matériel ou logiciel,
Pour protéger les données pseudonymisées sur le serveur central, etc.

Le , par Bill Fassinou
814 commentaires

1.2KPARTAGES

6  0 
L’Agence nationale de sécurité des systèmes d’information (ANSSI) a publié cette semaine une liste de sept (7) recommandations concernant le volet sécurité de l’application StopCovid. Cette publication a été faite alors que l'Assemblée nationale doit se prononcer aujourd’hui sur le devenir de l’application de suivi de contacts. Les recommandations de l’ANSSI sur sa sécurité tournent autour d’un coffre-fort électronique et de la détection des attaques. Elles font également suite aux recommandations de la CNIL sur le volet RGPD il y a quelques jours.

Dans un document qu’elle a rendu public cette semaine, l’ANSSI a déclaré que face à la réalité de la cybermenace actuelle, la sécurisation de l’application apparaît primordiale pour veiller à sa fiabilité et à la confiance que les professionnels de santé chargés de gérer la crise sanitaire et les utilisateurs lui accorderont. Pour atteindre cet objectif, elle formule sur le volet sécurité de StopCovid, les sept recommandations qui suivent :

  • utilisation d’un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central, les informations pseudonymisées envoyées par le téléphone ;
  • la mise en œuvre sur l'ensemble des composants du dispositif de mesures pour concevoir une architecture sécurisée et permettre le bon fonctionnement du traitement des informations comme qu'envisagé ;
  • l'application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS ;
  • l'utilisation de mécanismes d'audit de l'imputabilité et de la traçabilité des actions menées sur le système [et] qu'un audit de type bug bounty soit mené en parallèle ;
  • la réalisation d'audits et de contrôles de sécurité réalisés par l'ANSSI tout au long de la conception de l'application ;
  • la création d'un dispositif de gestion des vulnérabilités pour maintenir un bon niveau de sécurité de l'application et du serveur central durant toute la durée d'utilisation de l'application ;
  • la mise en place d'un dispositif de détection des cyberattaques pour réagir très tôt en cas de tentatives de compromission du système.


En plus, comme la majorité des applications de suivi de contacts qui ont été déployées ou sont en cours de déploiement, StopCovid base aussi son fonctionnement sur le réseau sans fil Bluetooth. Avant l’ANSSI, la CNIL, dans ses recommandations sur le volet RGPD, a souhaité que l’utilisation de l’application soit basée sur le volontariat et destinée à un usage personnel. De son côté, l'ANSSI recommande fortement aux futurs utilisateurs de mettre régulièrement à jour leur téléphone pour limiter les risques liés à l'usage de cette technologie. Autrement dit, il faut régulièrement mettre à jour son téléphone pour assurer une meilleure sécurité du Bluetooth.

Par ailleurs, l’ANSSI a également souhaité faire une recommandation concernant l'algorithme de chiffrement qui sera utilisé. Dans sa note, elle suggère le chiffrement SKINNY-64/192. « Bien que récent, cet algorithme a été largement étudié et son analyse n'a révélé aucune faiblesse en matière de sécurité. De plus, il offre d'excellentes performances », a déclaré l’ANSSI pour justifier son choix. Pour rappel, voici les cinq principales recommandations de la CNIL pour aligner l’application StopCovid de suivi de contacts derrière le RGPD :

  • tout dispositif envisagé devrait être utilisé de manière temporaire, c’est-à-dire uniquement pour la gestion de la crise ;;
  • après la crise, les données devront en principe être détruites, ou sinon conservées pendant un temps limité et de façon protégée, pour ne servir qu’à des finalités complémentaires de recherche ou de gestion d’éventuels contentieux ;;
  • le stockage des données en local sur le terminal de l’utilisateur devrait être privilégié lorsque cela est possible ;;
  • les applications qui s’appuient sur des données Bluetooth, qui sont chiffrées directement sur le téléphone sous le contrôle de son utilisateur, apportent plus de garanties que celles qui s’appuient sur un suivi géolocalisé (GPS) continu des personnes ;
  • un tel dispositif devra, comme tout traitement, respecter le principe de transparence, assurer la sécurité des données et respecter les droits des personnes prévus par le RGPD.

Source : Recommandations de l’ANSSI (PDF)

Et vous ?

Que pensez-vous des recommandations de l’ANSSI ?
Cela vous semble-t-il suffisant pour sécuriser StopCovid ?
Quelles autres recommandations suggéreriez-vous ?

Voir aussi

Les Français devront rester libres de ne pas installer l'application de tracking StopCovid, juge la CNIL qui ajoute que le fait de refuser l'application n'aurait aucune conséquence préjudiciable

StopCovid : le gouvernement saisit le Conseil National du Numérique pour examiner l'application qui ne serait probablement pas prête avant le 11 mai, selon Cédric O

StopCovid : l'INRIA dévoile ROBERT, un protocole mis au point pour la construction d'applications mobiles de suivi de contacts, en réponse à celui d'Apple et Google

StopCovid : les doutes sur le lancement et l'efficacité de l'application persistent, l'exécutif et les responsables tentent néanmoins d'apaiser les esprits

Pourquoi le projet français d'application StopCovid fera très probablement un bide ? Voici quelques pistes de réflexion

Une erreur dans cette actualité ? Signalez-nous-la !

814 commentaires
Commenter Signaler un problème
escartefigue
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 05/08/2021 à 10:42
Citation Envoyé par setni Voir le message
Toute l'administration Française est une usine à gaz, donc rien de nouveau sous le soleil
J'ai le sentiment pour avoir passé toute ma carrière dans le privé, que les grandes entreprises privées n'ont rien à envier à l'administration sur ce chapitre.
Plutôt que tomber dans le stéréotype public/privé, je crois que c'est surtout la taille des organisations qui provoque les lourdeurs, les lenteurs et la complexité.
17  0 
Matthieu Vergne
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 26/07/2021 à 21:01
Citation Envoyé par imperio Voir le message
Ça ressemble quand même fortement à un discours anti-vax tout ça...
Si tu lis mon analyse, ne serais-ce que sa conclusion pour ne prendre qu'une minute, tu te contrediras tout seul : il y a de très bonnes raisons de se faire vacciner. Juste que ces raisons ne sont pas absolues. Une réponse à géométrie variable est encore nécessaire, et je ne cautionne pas l'absolutisme prôné par nos dirigeants qui ne voient que tout noir (non vacciné = ) ou tout blanc (vacciné = ). Pour rappel, être vacciné ne fait que, a priori, diminuer la probabilité de contaminer ou de développer des formes graves du COVID. Pour autant, il y a des effets secondaires connus, et pour l'instant on n'a qu'un recul de moins d'un an en phase de pharmacovigilance (phase finale où on applique à la population tout en vérifiant les observations de laboratoire).

Citation Envoyé par imperio Voir le message
Vaccine-toi, protège les tiens et les autres et ta liberté ne sera pas grignotée.
C'est précisément le discours absolutiste que je condamne. Certes les vaccins COVID ont montré des avantages, mais aussi des inconvénients. Et dans tous les cas, on ne peut pas se prononcer sur les effets à long terme de par le nouveau type de vaccin dont il est question. Préserver mes libertés à condition que je fasse confiance à des vaccins prônés par un gouvernement qui a démontré son incompétence en terme de gestion de crise et vendu par des grosses boîtes qui se protègent de toute responsabilité quant aux effets secondaires... désolé mais si c'est si fantastique je ne vois pas pourquoi ces grosses boites, qui ont pourtant les reins solides, ne prennent pas ces responsabilités. Dans un tel contexte de doute, je suis en prônant le doute, et donc pas de vaccination pour ceux qui n'ont pas besoin de prendre des risques.

Citation Envoyé par imperio Voir le message
Tu cites le vaccin contre la grippe, cependant je n'ai littéralement rien vu comme problème sur le long terme dans aucune publication scientifique à ce jour.
Sur le vaccin contre la grippe ? Moi non plus, et ça tombe bien je ne critique pas le vaccin contre la grippe. Juste que la COVID est en de nombreux points comparable à la grippe, mais qu'on la traite presque comme si c'était le tétanos.

Citation Envoyé par imperio Voir le message
Je suppose que la communication du gouvernement absolument désastreuse a joué pour beaucoup dans ce désastre... Cette peur contre les vaccins n'a aucun sens... Ils ont permis d'éradiquer des fléaux et je pense que les gens ont trop tendance à oublier ça.
Et encore une fois, je n'ai rien contre les vaccins de manière général. Quand je suis allé au Japon je me suis fait vacciner sans y réfléchir à deux fois : il s'agit de vaccins bien connus qui ont fait leurs preuves, je n'ai pas plus de raison d'en douter que de ce que je mange tous les midi. Il s'agit là de parler des vaccins propres à la COVID, qui sont d'un tout autre genre. Les données montrant une quasi absence d'effets à long terme des vaccins déjà connus ne peut pas être utilisé comme argument pour motiver un nouveau type de vaccin.

Merci donc de ne pas appliquer un filtre aussi binaire "pro-vaccin vs anti-vaccin". Le sujet n'est pas aussi trivial et doit être nuancé.
25  9 
Cpt Anderson
Avatar de Cpt Anderson
Membre émérite https://www.developpez.com
Le 27/07/2021 à 9:51
Je pense qu'il n'y a aucune surprise par rapport à l'adoption de cette loi, dans le sens ou les parlementaires et les sénateurs sont totalement déconnectés de la réalité, corrompus et ne sont préoccupés que par leur réélection. Ces gens qui doivent être les représentants du peuple, nous pissent dessus, encore une fois.
Et que dire de la méthode ? qu'on fasse voter des lois pareils a 6h du mat' à la va-vite...viens me parler de démocratie après !

La prochaine étape, c'est la validation par le conseil constitutionnel et là aussi, aucun souci, ces types qui sont censés nous protéger des politiques n' y verront aucun problème.

En résumé, notre système est pire que la dictature du pire pays du monde car il te fait croire à la liberté et à la démocratie alors que c'est pas du tout le cas. C'est la pire forme de totalitarisme.
23  7 
Cpt Anderson
Avatar de Cpt Anderson
Membre émérite https://www.developpez.com
Le 24/06/2020 à 8:41
Il y a au moins une chose qui reste certaine en ce bas monde : la France est nulle en terme d'anticipation mais reste championne du monde pour ce qui est des dépenses inutiles.
15  1 
DannyK
Avatar de DannyK
Inactif https://www.developpez.com
Le 06/07/2022 à 23:46
Citation Envoyé par Madmac Voir le message
La vérité pourrait vous surprendre. Premièrement le virus a été créé de toute pièce. Et on ne peut plus parler du grand reset comme une simple conspiration.
Tellement vrai ... pendant que je garais ma soucoupe volante hier, les illuminatis me l'ont confirmés
19  5 
jacjac
Avatar de jacjac
Membre actif https://www.developpez.com
Le 27/07/2021 à 10:33
C'est dingue comment l'administration Française peut être rapide quand elle veut absolument faire passer quelque chose
On pourrait en profiter pour faire une refonte de notre système judiciaire dans la foulée, ça serait efficace vu comment ils sont bouillants nos dictateurs nos élus démocrates.
16  3 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 27/07/2021 à 14:26
Citation Envoyé par 23JFK Voir le message
Ce que vous décrivez est surtout le signe d'un système hospitalier inadapté tant en capacités qu'en fonctionnalités. Rien d'anormal quand la politique sanitaire consiste en des coupes budgétaires systématiques en fermant des lits, en tablant sur la fourniture de consommables en flux tendus, en limitants fortement la formation de personnel compétent.
Ce n'est que partiellement vrai.
Je suis le 1er à dénoncer cet autre problème, mais on peut faire une comparaison.

Quand il neige beaucoup dans un pays tempéré ou chaud, c'est la catastrophe : plus rien ne marche. La même chose au Canada est juste la normale saisonnière et ça se passe très bien.

En temps normaux, la réanimation est à flux tendu. Parfois il manque des places en effet et c'est un peu juste. Parfois elle est sous utilisée.
Si on a une croissance exponentielle des patients ayant besoin de réanimation à cause du covid, que fait-on ?
Si on en a 2x plus, 4x plus. On arrête toute l'activité chirurgicale (dont les patients finissent parfois en réanimation) et on demande à tous les anesthésistes de prendre un costume de réanimateur et on surcharge de travail tout le monde notamment les infirmières, infirmiers spécialisés et on met dans les soins intensifs de neurologie, cardiologie, etc, des gens qui normalement seraient en réa (et donc auront une prise en charge un peu juste)
Si on en a 5x plus, on fait du tri +++
Si on en a 10x plus, le système explose et les gens meurent dans les couloirs.

On ne peut même pas demander à d'autres médecins de suppléer aux réanimateurs car suite au tri, les patients qui restent en réanimation sont d'une gravité exceptionnelle par rapport à la normale et nécessitent donc des spécialistes;

Lors de la 1ère vague, le système n'a pas explosé à quelques jours près, car le confinement général a permis d'arrêter l'épidémie et de pouvoir transférer des effectifs et des patients entre les régions.

Tous ça pour dire, qu'on ne peut pas dimensionner a priori face à une épidémie exceptionnelle. On pourrait multiplier par 3 la taille des réanimations, à grand coût, , que face à une épidémie, ça ne tiendrait pas non plus sans mesures de santé publique.
Historiquement, seules les mesures de santé publiques peuvent affecter la santé de populations entières. Les médecins soignent des gens ; pour un échantillon énorme de la taille d'une population, il faut de la médecine préventive (ici des vaccins.)

Bien cordialement.
12  1 
grunk
Avatar de grunk
Modérateur https://www.developpez.com
Le 27/07/2021 à 16:59
Citation Envoyé par AoCannaille Voir le message
Les vaccins à base d'ARNm existent au mieux depuis 10 ans, et encore, si on compte ceux qui n'ont jamais atteint la phase 3, sinon depuis 1 an.

La phase 4 n'a JAMAIS été atteinte avec cette techno, encore moins validée. On n'a dont aucun retour à moyen et long terme sur les vaccins à base d'ARNm.
Le pfizer à ARNm est apparu dans les année 90 avec premiers essais clinique en 2002-2003. Ce qui manquait principalement au développement de ces vaccins c'était la moulagua, qui tout d'un coup, c'est mise à tomber du ciel.

L'ARNm qu'on t'injectes à complètement disparu en quelques jours (demi vie de l'ordre de qlq heures) , il sert juste à entrainer tes globules blanc à reconnaitre la protéine du virus ... Tu comprendras donc bien facilement que les effets à long terme sur ce genre de vaccins c'est plus la protection contre le virus que de te transformer en robots asservi au parti politique de ton choix.

Concernant la phase IV je t'invite à consulter les documents du ministère de la santé israelien qui fait le bilan sur 650K injection. (spoiler alerte : 0.1% des répondants ont ressentie des effets secondaire de type inconfort , fiève, faiblesse , etc ...).
--

Ce qui me dérange avec le pass sanitaire c'est son calendrier d'application. J'ai pris rdv pour me vacciner le premier jour ou j'avais le droit de le faire , on m'a donner mes 2 dates de vaccinations. je viens seulement aujourd'hui de valider mon pass. Ce qui veux dire que c'est quasi mission impossible pour tout le monde d'avoir un pass valide même si il le souhaite et ca c'est pas normal.
13  2 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 08/07/2022 à 13:44
Citation Envoyé par Steinvikel Voir le message

au final on se retrouve avec un développement qui pond une appli obscure, qui ne semble pas se limiter strictement à ce pour quoi elle est conçu, elle n'est pas obligatoire, elle ne profitera à personne d'autre dans le futur (le code est secret).
le code est secret ? Le dépôt ne serait pas là par hasard ? https://gitlab.inria.fr/stopcovid19/accueil

Il faut se souvenir que la plupart des pays ont délégué à Google et Apple le soin de créer ce service. Pour une fois que la France décide de ne pas confier la santé aux GAFAM, ET de mettre le code sur gitlab, je trouve ça cher payé de leur faire un procès d'intentions.

Le principal échec de cette application est que les gens ne l'ont pas installée, plus à mon humble avis pour des questions d'ordre sociologiques qu'informatiques. Il faut quand même se rappeler qu'à part ici, au moins 99% des gens ne s'est jamais posé la question d’auditer le code source de tous anti covid...
11  0 
Matthieu Vergne
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 09/06/2021 à 20:48
Citation Envoyé par Stéphane le calme Voir le message
Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises.
Des doutes...
Des doutes ?
Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
Elle se fout de qui là, la CNIL ?

Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !

Citation Envoyé par Stéphane le calme Voir le message
Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes
C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.

Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
11  1 
Commenter Signaler un problème