Ouvrir le menu principal

iGeneration

Recherche

TousAntiCovid : des statistiques beaucoup trop détaillées selon des chercheurs en sécurité

Mickaël Bazoge

lundi 23 août 2021 à 16:20 • 72

App Store

Une faille dans TousAntiCovid fragilise la confidentialité de l'application de traçage des contacts, ce qui pourrait permettre de déterminer le statut de santé et l'identification de certains utilisateurs. Il faut souligner d'emblée que le risque demeure limité, mais il existe comme l'ont démontré des chercheurs en sécurité de l'Inria qui dévoilent leur découverte à cette adresse. En attendant un correctif, il est toujours possible de s'en prémunir en désactivant l'option Statistiques et mesure d'audience des paramètres de l'app.

Une des difficultés de TousAntiCovid est de regrouper plusieurs applications en une seule : le traçage des contacts ROBERT, le traçage des contacts par code QR Cléa (deux protocoles qui ont pour objectif commun de minimiser les données), le wallet pour le pass sanitaire et un convertisseur de certificats.

Toutes ces fonctions se partagent une partie de l'état du système (journaux d'événements, minuteries qui déclenchent les requêtes de statuts ainsi que les tokens d'autorisation). Ce sont autant d'opportunités d'attaques pour les plus mal intentionnés. À tout cela s'ajoute un mécanisme qui génère des statistiques afin d'en évaluer l'utilisation et son efficacité depuis le mois de juin.

Cette collecte pose problème, comme le résume Gaëtan Laurent dans ce fil Twitter. TousAntiCovid envoie régulièrement sur le serveur des statistiques générales ainsi qu'un journal d'événements (log) très détaillé enregistrant la plupart des actions de l'utilisateur.

L'app génère plusieurs types de données censées rester cloisonnées : le traçage Bluetooth lié à un pseudonyme (identifiant ID dans la spécification ROBERT), les événements applicatifs (identifiant UUID généré à l'installation de l'application) et les événements de santé qui ne sont liés à aucun identifiant pérenne mais qui présentent des horaires précis. C'est en croisant ces événements que des fuites de données apparaissent.

Les chercheurs ont déterminé qu'il y avait plusieurs manières de « reconstruire » une correspondance entre ces données, par exemple en recoupant les scans de plusieurs utilisateurs réalisés en même temps et au même endroit. Il y a par exemple le protocole Cléa qui cesse de synchroniser ses données lorsqu'un utilisateur se signale positif, alors que le protocole ROBERT poursuit ses envois de données. Par un jeu de devinette, il devient alors possible de déduire que tel utilisateur a été testé positif à la Covid.

Ce que le rapport souligne, c'est que si des barrières empêchent le croisement des données dans TousAntiCovid, elles ne sont pas suffisantes. Pour éviter un suivi potentiel, on peut toujours désactiver le réglage Statistiques et mesure d'audience. Les chercheurs proposent de réduire le niveau de détails des statistiques (une précision d'une heure ou d'une journée suffit pour l'analyse statistique, plutôt qu'à la demi-seconde), ou encore en supprimant des événements.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Tous les iPhone 17 pourraient passer à 12 Go de RAM

11:00

• 0


Apple voudrait rapidement produire en Inde 100% des iPhone américains

08:05

• 17


iPadOS 19 verrait apparaître une barre de menus sur iPad

24/04/2025 à 23:05

• 37


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

24/04/2025 à 23:00

• 30


L’iPhone 16 dans une nouvelle réclame mettant en avant sa solidité

24/04/2025 à 21:00

• 15


Choisissez la couleur du tee-shirt des 25 ans de MacGeneration !

24/04/2025 à 20:22

• 44


Hausse de Netflix : Canal+ et Free augmentent les prix de leurs options 🆕

24/04/2025 à 18:04

• 34


Coups bas et mauvaises manières entre l'Inde et la Chine pour la fabrication des iPhone

24/04/2025 à 18:00

• 19


Air France va diffuser les contenus Canal+ sur tous ses vols long-courriers à partir du premier mai

24/04/2025 à 15:30

• 11


L’AI Pin revient d’entre les morts avec le projet OpenPin

24/04/2025 à 14:23

• 7


Vous pouvez récupérer le pin’s créé pour les dix ans de l’Apple Watch en Apple Store 🆕

24/04/2025 à 14:21

• 67


De nouvelles maquettes de l’iPhone 17 « Air » dévoilent sa finesse

24/04/2025 à 13:30

• 38


Apple ne signe plus iOS 18.4, restauration obligatoire en 18.4.1

24/04/2025 à 12:20

• 3


Aqara présente quelques nouveautés, dont un thermostat sans fil et un kit de surveillance complet

24/04/2025 à 11:30

• 11


Switch 2 : Nintendo annonce 2,2 millions de précommandes au Japon et se prépare à une pénurie

24/04/2025 à 10:30

• 21


Tesla aurait de nouveau perdu de l’argent au premier trimestre 2025 sans les crédits carbone

24/04/2025 à 08:16

• 116