Développement accéléré, gestion du projet critiquée, controverses sur des choix techniques… De nombreux éléments ont engendré une véritable inquiétude autour de la sécurité de StopCovid. Mais l’équipe du projet, menée par des chercheurs de l’Inria, est parvenue à offrir de nombreuses garanties, contrôlées par plusieurs experts français. Résultat : l’application qui sort à midi ce mardi 2 juin aura un niveau de sécurité plus que satisfaisant.
Reste que le risque zéro n’existe pas en cybersécurité, et qu’il existe donc des scénarios d’attaque contre l’app. Mais ils requièrent soit une force de frappe et des compétences techniques de très haut niveau, soit des manœuvres d’espionnage avancées. Sauf que même dans le cas où un scénario catastrophe se réaliserait, les dégâts seraient limités pour les utilisateurs, puisque StopCovid ne récolte que le strict minimum de données nécessaire à son fonctionnement.
Si la sécurité de StopCovid est satisfaisante, elle ne balaie pas les doutes sur son efficacité et son usage, alimentés par des questions à la fois techniques et éthiques.
Peu de données exposées sur StopCovid
Pour évaluer le risque, il faut savoir quelles données sont exposées dans l’application :
- Un identifiant unique, attribué à chaque utilisateur par un serveur central contrôlé par l’État, qui est lié à l’adresse IP du smartphone. Cet identifiant est protégé par un algorithme de chiffrement, qui lui donne une autre apparence (un ensemble de chiffres et de lettres) à intervalles réguliers. Les smartphones disposant de StopCovid vont s’échanger les identifiants chiffrés, qui seront eux-mêmes conservés pendant une durée limitée après avoir été remontés au serveur central. Seul le serveur central dispose de la clé de déchiffrement.
- Le contrôle positif à StopCovid. Après avoir été testées positives, les personnes atteintes de Covid-19 recevront un code à entrer dans l’app. Il existe un chemin pour remonter à l’identité des personnes malades, mais il est protégé par de très nombreuses couches de sécurité. C’est la donnée qui pourrait attirer la convoitise : des personnes malintentionnées pourraient s’en servir pour faire du chantage par exemple.
- Un historique des interactions entre les téléphones, et donc entre les personnes, gardé pendant une durée limitée. Un groupe de hacker qui aurait réalisé la prouesse de casser le chiffrement pourrait créer des cartes d’interactions, qui lui permettrait d’identifier certaines personnes.
Et c’est tout. StopCovid ne récolte pas de données personnelles ni de données de géolocalisation. Résultat : même si des hackers parvenaient à compromettre l’application, ils n’auraient pas directement accès à l’identité des utilisateurs. Il leur faudrait encore faire des efforts supplémentaires, recouper avec toutes sortes de données pour lier une identité (et un éventuel statut positif à la Covid-19) à une personne.
En plus d’être compliquée à lancer, la cyberattaque ne mènerait donc qu’à peu d’informations. Il existe des milliers d’applications bien moins sécurisés, qui exposent bien plus de données, si les hackers ne veulent pas se compliquer la tâche.
La sécurité de StopCovid a été amplement testée
Malgré son développement rapide, StopCovid est passé par toutes les étapes d’un processus de sécurisation.
- L’Agence nationale de sécurité des systèmes informatiques (Anssi) a été grandement impliquée sur le projet StopCovid. Elle a elle-même mené plusieurs audits de sécurité — des contrôles approfondis — sur Stopcovid. Si vous n’êtes pas familier avec l’institution, l’Anssi est à la pointe sur toutes les questions liées à la cybersécurité. Elle intervient systématiquement sur les cyberincidents critiques, et compte des centaines d’ingénieurs de très haut niveau dans ses effectifs.
- L’équipe projet de StopCovid s’est pliée aux recommandations de l’Anssi. Elle a notamment changé l’algorithme de chiffrement qui protège l’identifiant des utilisateurs et garantit leur pseudonymat. Des angles d’attaque étaient connus pour le précédent d’algorithme, aucun n’a pour l’instant été découvert sur le nouveau.
- En plus des audits, l’application a été soumise à un bug bounty pour parfaire sa sécurité. Pendant 5 jours, 21 hackers parmi les plus aguerris de France et d’Europe ont tenté de trouver des vulnérabilités sur StopCovid, et de prouver qu’elles sont exploitables à des fins malveillantes. Ils pouvaient récolter un chèque compris entre quelques dizaines et 2 000 euros par faille découverte selon sa gravité. Mais leur bilan est maigrelet : 12 bugs identifiés dont seulement 7 acceptés (et rendus publics) par YesWeHack, la plateforme en charge d’évaluer la dangerosité et la pertinence des vulnérabilités. Clément Domingo (dit SaxX), un des hackers du programme, s’est réjoui de ce maigre bilan, signe d’une application bien développée : « StopCovid n’a révélé aucune grosse vulnérabilité et aucun manquement sur la sécurité des données ! Que des ‘soucis’ liés à ce que l’on appelle les bonnes pratiques. » L’équipe du projet a indiqué qu’elle travaillait déjà sur les problèmes identifiés, mais même s’ils n’ont pas été déployés à la sortie, ils ne mettraient pas en danger les utilisateurs.
- Avec la publication de l’app, le bug bounty organisé par YesWeHack va devenir accessible à tous. N’importe quel chercheur ou chercheuse en cybersécurité va désormais pouvoir remonter les éventuels problèmes, au cas où ils seraient passés au travers des deux premiers tamis de sécurité déjà très fins.
StopCovid a une sécurité imparfaite, mais suffisante
Les critiques les plus pointus pourront tout de même questionner le choix français d’une approche centralisée pour StopCovid : il suffit aux hackers de compromettre un seul serveur central, contrôlé par l’État, pour compromettre l’application. Cette particularité nécessite aussi d’accorder une certaine confiance à l’administration et aux fonctionnaires garants des serveurs.
Quoiqu’il en soit, le gouvernement a avancé suffisamment de garanties pour que la sécurité ne soit pas un élément discriminant du choix de l’installation de StopCovid. C’est le point défendu par SaxX. L’application protège correctement l’utilisateur, mais il ne l’installera pas pour d’autres raisons.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !