Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Covid-19 : une énorme faille découverte dans l'API de contact tracing conçue par Apple et Google
Qui permettrait de suivre une personne à la trace

Le , par Bill Fassinou

332PARTAGES

16  0 
Deux universitaires, Serge Vaudenay et Martin Vuagnoux, de l’école polytechnique fédérale de Lausanne (EPFL), en Suisse, viennent de tirer la sonnette d’alarme sur l’existence d’une importante faille de sécurité dans l’API de contact tracing proposée conjointement par les géants Google et Apple. En raison d’un manque de synchronisation dans le renouvellement des codes envoyés par Bluetooth, la faille de sécurité permet de suivre une personne à la trace. Ce comportement de l’API va à l’encontre de l’objectif initial des deux entreprises.

La pandémie du Covid-19 a (malheureusement) forcé l’utilisation de systèmes de traçage de proximité. Google et Apple ont proposé une API de contact tracing en avril en vue de faciliter le déploiement d’applications de suivi des contacts sur leur plateforme respective. Plusieurs applications de différents pays se sont basées sur cette API, notamment celle de la Suisse, de l’Australie, du Canada, de la Belgique... D’autres pays, comme la France, avec StopCovid, ont toutefois préféré se baser sur leur propre système de suivi, avec une gestion centralisée des données des utilisateurs.

La faille de sécurité dont il s’agit concerne le système de notification de l’API appelé “Exposure Notifications” (notification des expositions - ENS) qui facilite la recherche numérique des contacts. Il complète en effet les techniques traditionnelles de recherche des contacts en enregistrant automatiquement les rencontres avec d'autres utilisateurs de l'ENS à l'aide de leur smartphone Android ou iOS. C’est un protocole décentralisé basé sur le signalement et qui utilise le Bluetooth à faible consommation d'énergie et la cryptographie pour préserver la vie privée.


Il est utilisé comme fonction opt-in dans les applications Covid-19 développées et publiées par les autorités sanitaires autorisées. D’après les chercheurs, la vulnérabilité dont il est actuellement victime ne devrait pas exister, car les trames diffusées par les smartphones au travers du système se basent sur des pseudonymes et des adresses MAC Bluetooth générés de façon aléatoire et changés toutes les 15 minutes. Cependant, Vaudenay et Vuagnoux ont remarqué que ce renouvellement ne se fait pas toujours de façon synchrone, ce qui cause un problème sérieux.

Plus précisément, il y a des moments où l’adresse MAC est modifiée avant le pseudonyme, ou inversement. Cet événement donne lieu à ce que les universitaires appellent des trames intermédiaires, qui contiennent à la fois une ancienne valeur et une nouvelle. Ensuite, en les collectant, cela permet de ne jamais perdre le fil dans le renouvellement des identifiants. Selon leur rapport, qui a étudié le fonctionnement de l’application suisse de contact tracing, SwissCovid, ce décalage a l’air banal, mais il permet de suivre les utilisateurs de l’application à la trace.

Les chercheurs ont ajouté à leur rapport une vidéo de démonstration dans laquelle ils expliquent avoir testé 8 smartphones avec SwissCovid installée. Ils ont remarqué que 5 des 8 smartphones étaient vulnérables. En outre, ils ont également déclaré avoir pu exploiter la faille sur d’autres applications utilisant cette même technologie, telle que Corona-Warn de l’Allemagne, StoppCorona déployée en Autriche ou Immuni en Italie. Leur conclusion a été qu’il est fort probable que toutes les applications basées sur Exposure Notification soient sujettes à cette vulnérabilité.

Notons que la France, avec StopCovid, et les autres pays ayant choisi de concevoir leur propre système de notification d’expositions sont à l’abri de cette vulnérabilité. Apple et Google vont devoir rapidement fournir un patch pour corriger la faille avant qu’elle ne soit exploitée par des acteurs malveillants. L’API n’étant pas entièrement open source, une tierce partie n’est pas en mesure de proposer une solution.

Source : Rapport de l’étude

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Apple et Google lancent un outil commun de traçage du COVID-19 pour iOS et Android, il se traduira d'abord par une API, puis un outil intégré nativement aux deux systèmes

Apple et Google rendront leur API disponible dès le 28 avril prochain, le jour du vote à propos de StopCovid à l'Assemblée nationale

L'Irlande et le Canada donnent le code source de leur application de traçage à la Linux Foundation Public Health, une initiative qui a pour but de lutter contre le Covid-19 et les futures pandémies

Covid-19 : la technologie de traçage de contacts Apple-Google suscite l'intérêt dans 23 pays, mais les autorités ne devraient pas exiger des numéros de téléphone des utilisateurs

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de ijk-ref
Membre confirmé https://www.developpez.com
Le 06/09/2020 à 22:09
Citation Envoyé par epsilon68 Voir le message
et voila comme d'hab, a se demander si ce n'etait pas fait expres tout de meme non ?
Les omniscients et omnipotents Dieux Google et Apple ne font PAS - JAMAIS - d'erreurs. Tout est prémédité, ils ont un plan - Amen

Si tu connais un peu l'histoire de l'informatique, aucun humain a crée de système (réseau) infaillibles. Pour croire que Google et Apple y échappent c'est leur prêter des pouvoirs inhumains.
3  0 
Avatar de Steinvikel
Membre émérite https://www.developpez.com
Le 05/09/2020 à 19:50
L’API n’étant pas entièrement open source, une tierce partie n’est pas en mesure de proposer une solution.
...d'où l'importance, autre que politique, d'adopter des solutions sous licences "libres" à copyleft fort.
2  0 
Avatar de epsilon68
Membre éprouvé https://www.developpez.com
Le 05/09/2020 à 22:13
et voila comme d'hab, a se demander si ce n'etait pas fait expres tout de meme non ?
2  3 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 07/09/2020 à 16:34
c'est pas une faille mais une feature. arretons de nous prendre pour des débiles svp..
1  2