Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les recommandations de l'ANSSI pour sécuriser StopCovid : utilisation d'un coffre-fort, matériel ou logiciel,
Pour protéger les données pseudonymisées sur le serveur central, etc.

Le , par Bill Fassinou

477PARTAGES

6  0 
L’Agence nationale de sécurité des systèmes d’information (ANSSI) a publié cette semaine une liste de sept (7) recommandations concernant le volet sécurité de l’application StopCovid. Cette publication a été faite alors que l'Assemblée nationale doit se prononcer aujourd’hui sur le devenir de l’application de suivi de contacts. Les recommandations de l’ANSSI sur sa sécurité tournent autour d’un coffre-fort électronique et de la détection des attaques. Elles font également suite aux recommandations de la CNIL sur le volet RGPD il y a quelques jours.

Dans un document qu’elle a rendu public cette semaine, l’ANSSI a déclaré que face à la réalité de la cybermenace actuelle, la sécurisation de l’application apparaît primordiale pour veiller à sa fiabilité et à la confiance que les professionnels de santé chargés de gérer la crise sanitaire et les utilisateurs lui accorderont. Pour atteindre cet objectif, elle formule sur le volet sécurité de StopCovid, les sept recommandations qui suivent :

  • utilisation d’un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central, les informations pseudonymisées envoyées par le téléphone ;
  • la mise en œuvre sur l'ensemble des composants du dispositif de mesures pour concevoir une architecture sécurisée et permettre le bon fonctionnement du traitement des informations comme qu'envisagé ;
  • l'application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS ;
  • l'utilisation de mécanismes d'audit de l'imputabilité et de la traçabilité des actions menées sur le système [et] qu'un audit de type bug bounty soit mené en parallèle ;
  • la réalisation d'audits et de contrôles de sécurité réalisés par l'ANSSI tout au long de la conception de l'application ;
  • la création d'un dispositif de gestion des vulnérabilités pour maintenir un bon niveau de sécurité de l'application et du serveur central durant toute la durée d'utilisation de l'application ;
  • la mise en place d'un dispositif de détection des cyberattaques pour réagir très tôt en cas de tentatives de compromission du système.


En plus, comme la majorité des applications de suivi de contacts qui ont été déployées ou sont en cours de déploiement, StopCovid base aussi son fonctionnement sur le réseau sans fil Bluetooth. Avant l’ANSSI, la CNIL, dans ses recommandations sur le volet RGPD, a souhaité que l’utilisation de l’application soit basée sur le volontariat et destinée à un usage personnel. De son côté, l'ANSSI recommande fortement aux futurs utilisateurs de mettre régulièrement à jour leur téléphone pour limiter les risques liés à l'usage de cette technologie. Autrement dit, il faut régulièrement mettre à jour son téléphone pour assurer une meilleure sécurité du Bluetooth.

Par ailleurs, l’ANSSI a également souhaité faire une recommandation concernant l'algorithme de chiffrement qui sera utilisé. Dans sa note, elle suggère le chiffrement SKINNY-64/192. « Bien que récent, cet algorithme a été largement étudié et son analyse n'a révélé aucune faiblesse en matière de sécurité. De plus, il offre d'excellentes performances », a déclaré l’ANSSI pour justifier son choix. Pour rappel, voici les cinq principales recommandations de la CNIL pour aligner l’application StopCovid de suivi de contacts derrière le RGPD :

  • tout dispositif envisagé devrait être utilisé de manière temporaire, c’est-à-dire uniquement pour la gestion de la crise ;;
  • après la crise, les données devront en principe être détruites, ou sinon conservées pendant un temps limité et de façon protégée, pour ne servir qu’à des finalités complémentaires de recherche ou de gestion d’éventuels contentieux ;;
  • le stockage des données en local sur le terminal de l’utilisateur devrait être privilégié lorsque cela est possible ;;
  • les applications qui s’appuient sur des données Bluetooth, qui sont chiffrées directement sur le téléphone sous le contrôle de son utilisateur, apportent plus de garanties que celles qui s’appuient sur un suivi géolocalisé (GPS) continu des personnes ;
  • un tel dispositif devra, comme tout traitement, respecter le principe de transparence, assurer la sécurité des données et respecter les droits des personnes prévus par le RGPD.

Source : Recommandations de l’ANSSI (PDF)

Et vous ?

Que pensez-vous des recommandations de l’ANSSI ?
Cela vous semble-t-il suffisant pour sécuriser StopCovid ?
Quelles autres recommandations suggéreriez-vous ?

Voir aussi

Les Français devront rester libres de ne pas installer l'application de tracking StopCovid, juge la CNIL qui ajoute que le fait de refuser l'application n'aurait aucune conséquence préjudiciable

StopCovid : le gouvernement saisit le Conseil National du Numérique pour examiner l'application qui ne serait probablement pas prête avant le 11 mai, selon Cédric O

StopCovid : l'INRIA dévoile ROBERT, un protocole mis au point pour la construction d'applications mobiles de suivi de contacts, en réponse à celui d'Apple et Google

StopCovid : les doutes sur le lancement et l'efficacité de l'application persistent, l'exécutif et les responsables tentent néanmoins d'apaiser les esprits

Pourquoi le projet français d'application StopCovid fera très probablement un bide ? Voici quelques pistes de réflexion

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Cpt Anderson
Membre expérimenté https://www.developpez.com
Le 24/06/2020 à 8:41
Il y a au moins une chose qui reste certaine en ce bas monde : la France est nulle en terme d'anticipation mais reste championne du monde pour ce qui est des dépenses inutiles.
15  0 
Avatar de pierre-y
Membre expérimenté https://www.developpez.com
Le 17/06/2020 à 13:28
je ne sais pas pourquoi, je revois macron en train de piailler qu'il n'y a jamais eu de pénuris de masque et que donc les policiers, le personnels hospitalier, la population et les pompier n'en portaient juste pas ou alors des périmés car ça les amusaient de choper le virus. Et apres des affirmations a la con comme ça, il y en a encore pour croire que la macronie ne va pas les entuber.
12  2 
Avatar de Pierre Fauconnier
Responsable Office & Excel https://www.developpez.com
Le 13/05/2020 à 17:52
Citation Envoyé par Stan Adkens Voir le message
[...]
En général, les utilisateurs qui téléchargent ces applications peuvent choisir volontairement d'enregistrer les détails de leurs symptômes lorsqu'ils commencent à se sentir mal. L'application garde une trace des personnes qui ont été en contact étroit grâce à des signaux Bluetooth qui transmettent une identification anonyme. Si une personne signale ultérieurement qu'elle est positive au coronavirus, elle enverra un message aux personnes qui ont été en contact étroit avec elle, et qu’elle aurait pu infecter, en se basant sur leurs identifiants anonymes.[...]
Si une techno peut se baser sur un identifiant "anonyme" pour m'avertir que j'ai été en contact avec une personne infectée, c'est que mon identifiant "anonyme" n'est pas si anonyme que ça... ils peuvent se les garder, leurs applications. Perso, dès que je me déplace, le bluetooth est coupé.
8  0 
Avatar de axel584
Membre habitué https://www.developpez.com
Le 24/06/2020 à 9:57
Tous les sites et les réseaux sociaux ont expliqués pendant plusieurs semaines que l'application était liberticide, intrusive etc. Il ne faut pas s'étonner que peu de personnes l'utilisent...

Alors que d'après moi, elle l'est beaucoup moins que d'autres applications, mais que les précautions présentées donnaient effectivement une impression d'atteintes aux libertés (à force de dire que ce n'est pas géolocalisé, c'est du bluetooth, les données sont anonymisées etc. les gens se méfient de toutes ces précautions présentées...)
A côté de ça, on a des applis comme Facebook qui nous géolocalise ("machin n'est pas très loin, faites lui coucou"... "Attention, un attentat à eu lieu à côté de chez vous, dites aux gens que vous allez bien"...) et cela semble moins poser de problème éthique...
Je rappelle juste que pour les entreprises, si c'est gratuit, c'est vous le produit...

Et pour nos gouvernements, nous sommes une majorité à les avoir choisi... (oui, on aurait pu mieux choisir, mais c'est un autre débat)
9  1 
Avatar de strato35
Membre confirmé https://www.developpez.com
Le 27/05/2020 à 8:38
Citation Envoyé par 23JFK Voir le message
presque deux mois pour un JEditorPane html et deux JButton. Ils ont recruté le haut du panier.
L'interface est basique, mais en fond il y a aussi toute la gestion du bluethooth, la synchro avec l'api, le développement de l'api, toute la gestion de la sécu, l'anonymat et compagnie, sans compter les tests et les difficultés rencontrées avec Google et Apple sur la manière de faire, d'autant que la France a dit qu'elle n'utiliserais pas l'api proposée par le système de manière décentralisé.
Si on ajoute à ça la conception et la validation du protocole ROBERT, les accords avec Microsoft sur l'hébergement, et faire fonctionner le tout sur les terminaux Apple qui est le plus réfractaire à la technique employée, 2 mois ça semble pas si long.
7  0 
Avatar de foxzoolm
Nouveau membre du Club https://www.developpez.com
Le 11/06/2020 à 11:51
<troll mode="ironie">
... de la corruption en France ????
étonnant
la franchement j'aurais JAMAIS penser que cette affaire d'application faite en FIN d'epidemie ne partait pas d'un bon sentiment de la part des gov...
naaaaaan jamais ils surfent sur ce genre de truc pour grizbi leurs potos...
blanc blanc immaculé plus que blanc cette bande de voleur...
</troll>
7  0 
Avatar de Angelsafrania
Membre confirmé https://www.developpez.com
Le 24/06/2020 à 15:40
Citation Envoyé par axel584 Voir le message
Et pour nos gouvernements, nous sommes une majorité à les avoir choisi... (oui, on aurait pu mieux choisir, mais c'est un autre débat)
Majorité ?

20,7M de voix pour macron au second tour
=> 66,1 % des suffrages exprimés aka pas null/blanc (le chiffre qui est dans tous les journaux)
=> 43,6 % des inscrit sur les listes électorales (ça le fait moins déjà)
=> 30,9% de la population française (là y'a les jeunes aussi mais bon en quoi ceux qui avait 17 ans à l'époque et qui ont 20 ans maintenant l'on choisi ?)

On peut faire pareil pour l'ensemble des votes.

Mais c'est un autre débat.
8  1 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 21/07/2020 à 10:22
Et je trouve ce genre d'article sur le COVID bien plus pertinent que ces soi-disant applis de suivi :

https://theconversation.com/covid-19...afrique-139943

les Africains ont l'expérience d'Ebola. Les asiatiques ont l'expérience de la grippe aviaire (et quelques autres). et on continue à ignorer leurs retours d'expérience. Pas étonnant qu'on en prenne plein la tronche. L'article est sans doute angéliste par bien des aspects, mais il point une faille réelle de l'occident : son complexe de supériorité.
7  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 05/05/2020 à 22:25
Voilà qui va remettre sur la table la notion de souveraineté numérique et d'OS national.
7  1 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 05/06/2020 à 22:59
Citation Envoyé par DevTroglodyte Voir le message
Certes, c'est pas parfait, certes, ça arrive un peu tard, certes, le taux de couverture de la population va être trop faible pour être réellement efficace, et certes, ça va coûter cher en argent public, mais d'un autre côté, ils allaient forcément se prendre des critiques dans la gueule. C'est mieux que rien
Si le résultat est de se faire autant critiquer que si on ne fait rien pour un résultat qui ne vaut rien, autant ne rien faire, ça coûte moins cher. {^_^}
6  0