Actualités

“N’importe qui peut créer un clone de TousAntiCOVID Verif qui aspire les données des passes en tâche de fond” : les défaillances sécuritaires de l’application mobile !

Alors qu’en Mai 2021, la CNIL émettait de multiples recommandations et des “garanties supplémentaires” pour solidifier les fondements sécuritaires du passe(port) sanitaire ainsi que de l’application mobile en découlant, TousAntiCOVID, outre les arguments législatifs pointant partiellement vers le manque de pluralité des outils sanitaires (y compris pour ceux ayant eu leur(s) injection(s)), d’autres arguments émanant de spécialistes sécuritaires ou de personnes averties en la matière commencent, également, à confirmer un cloisonnement bancal ou défaillant de la donnée privée mais aussi sensible au sein de l’application mobile.

 

 

Début Juin 2021, les chercheurs sécuritaires Florian Maury et Piotr Chmielnicki mettaient en relief la dérive potentielle qui pouvait se présenter pour un professionnel (commerçant, organisateur dans l’évènementiel, notamment). En effet, ces informations transitent depuis des serveurs d’IN Groupe et comprennent :

 

  • Des données d’identification (nom, prénom, date de naissance) ;
  • Des données pour justifier une vaccination (nom-vaccin, fabriquant-marque, nom-maladie, nombre de doses, statut de la vaccination, agent prophylactique, dernière injection) ;
  • Des données pour justifier numériquement une vaccination (pays de résidence, nom de l’établissement de certification, date-fin validité, fabriquant-marque) ;
  • Des données relatives au dépistage et la détection de la COVID-19 (date, heure, résultat, type-test, nom-maladie, nom-test, centre ou laboratoire, technique de test, fabriquant-marque) ;
  • Des données relatives au rétablissement après-COVID-19 (date test positif, date-début validité, date-fin validité, nom-maladie).

 

Depuis le 28 Juillet 2021, un nouveau PoC confirme une accessibilité potentiellement aisée de la donnée numérique (notamment sensible) via une simple lecture de QR-Code :

Si, de manière globale, il est assuré que les professionnels ne peuvent pas accéder à l’ensemble des informations ci-dessus (uniquement le nom, prénom, date de naissance et le statut d’accès pour valider ou non le passage de la personne dans le lieu (semi)public en question), il est souligné, en toute logique, que faire transiter ces données à partir d’un QR-Code sans autre forme de procédures sécuritaires peut permettre une lecture bien plus large : “tout lecteur de code barre grand public est suffisant. Il n’est nul besoin d’être membre d’une compagnie aérienne pour obtenir une application aux pouvoirs supérieurs permettant d’acquérir des informations de santé sensibles sur une personne qui exposerait volontairement ou par mégarde son pass sanitaire, sur Internet, dans une file d’attente, ou à un personnel de sécurité à l’entrée d’un événement“. Un point qui vient en contradiction directe avec les délibérations de l’époque émises par la CNIL : “dans l’hypothèse où ce code-QR correspondrait aux codes actuellement disponibles dans la fonctionnalité « TousAntiCovid Carnet », la Commission relève que celui-ci contient plus d’informations (nom, prénom, date de naissance, date d’examen, type d’examen, résultat). Il est donc possible, dans ce cas, qu’un tel dispositif soit détourné de façon à ce que le lecteur (téléphone ou lecteur dédié) lisant le code-QR puisse accéder à davantage d’informations qu’un simple résultat de conformité (couleur verte ou rouge). Elle invite le Gouvernement à s’assurer de la mise en œuvre des mesures opérationnelles et à fournir, aux personnes gérant les lieux, événements et établissements toute documentation nécessaire (communication sur les lieux, établissements ou évènements soumis au dispositif, mise en place d’une signalétique visible sur place, etc.) permettant de se prémunir de ce risque“.

 

Une question qui semble, de plus, rester malheureusement en suspend malgré la publication du code sous Github, par IN Groupe, de TousAntiCOVID Vérif pour Android et iOS, il y a quelques jours : comme souligné par gilbsgilbs, cette publication de code ne contient pas les détails du fameux “mode étendu” pour des questions de “sécurité“, est-il indiqué. Fin Juin 2021, le chercheur sécuritaire décortiquait techniquement la teneur du QR-Code et son fonctionnement reposant non plus sur le 2D-DOC mais le standard européen Digital COVID Certification (DCC). Le site du Gouvernement indique que des sanctions assez lourdes pour les employeurs et salariés qui ne joueraient pas le jeu de la transparence ou qui outrepasseraient leurs droits, même s’il est noté que l’accessibilité en terme de donnée numérique reste assez vaste : “si légalement, son utilisation est règlementée et doit se cantonner aux professionnels habilités, dans le cadre des activités pour lesquelles le Pass sanitaire est requis, chacun peut en pratique la télécharger gratuitement sur l’App Store et le Google Play Store. Ainsi si cela est nécessaire, un salarié peut utiliser son téléphone personnel pour vérifier les Pass sanitaires dans le cadre de son activité professionnelle“… A veiller !




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0