TousAntiCovid : vos données personnelles peuvent fuiter
L’application TousAntiCovid contient de plus en plus de fonctionnalités, et ce n’est pas forcément une bonne chose. Trois chercheurs viennent d’analyser certaines statistiques, et ont découvert des potentielles failles pour la sécurité des données.
La collecte de statistiques… qui en collecte trop
L’application TousAntiCovid contient de plus en plus de fonctionnalités, et ce n’est pas forcément une bonne chose.
Intégrée depuis juin dans l’application, la collecte de statistiques d’utilisation permet des corrélations entre les différentes données transmises au serveur. Selon les trois chercheurs, cette collecte casse le cloisonnement entre les différents usages et « met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles de traçage ».
TousAntiCovid utilise des protocoles construits selon le principe de « privacy by design » et de minimisation des données. L’application repose notamment sur :
- le protocole ROBERT pour le traçage de contact Bluetooth
- le protocole Cléa pour le traçage de contact par QR-codes dans les lieux publics
L’objectif de ces protocoles est de protéger la vie privée des utilisateurs même si le serveur central est malveillant.
TousAntiCovid : un risque pour l’anonymat et la vie privée
Cependant, “Les statistiques incluent un journal d’événement très détaillé, qui enregistre la plupart des actions faites par l’utilisateur, avec un horodatage précis”, regrettent les experts après avoir décortiqué le code de l’application.
En combinant les données obtenues par les différents protocoles, il serait possible de suivre les habitudes des utilisateurs. “Si Alice et Bob ont déjeuné au restaurant ensemble toute la semaine, leurs journaux contiennent des événements presque synchrones, et le serveur peut observer une corrélation entre leurs données”, détaille Gaetan Laurent, l’un des chercheurs sur son compte Twitter.
De plus, le journal d’évènements enregistre également l’utilisation du convertisseur de certificat qui contient des données nominatives. « S’il croise ces données avec les logs du convertisseur de certificat, il peut retrouver l’identité des utilisateurs », souligne Gaëtan Leurent.
Au final, les trois chercheurs estiment que la copie est à revoir. La conception de l’application TousAntiCovid n’est pas satisfaisante. En effet, selon eux, les différents systèmes impliqués doivent être indépendants si l’on veut réduire le risque d’une fuite de données.
Encore un peu de temps ? Dcouvrez comment afficher votre pass sanitaire sur votre Apple Watch !