Covid19 smartphone

Faille de sécurité dans l’API de contact tracing de Google et Apple

  • Le samedi 12 septembre 2020 à 15:24
  • 0 commentaire

Une énorme faille de sécurité a été découverte dans l’API de contact tracing conçue développée par Apple et Google pour lutter contre le Covid-19.

La faille détectée permet de suivre une personne à la trace, alors que Google et Apple voulait éviter ce phénomène. Le problème vient d'une absence de synchronisation des codes envoyés par bluetooth.
La faille de sécurité a été découverte par les chercheurs Serge Vaudenay et Martin Vuagnoux, de l’École polytechnique fédérale de Lausanne (EPFL).

Théoriquement les trames diffusées par les smartphones au travers du système d’Apple et Google contiennent des pseudonymes et des adresses MAC Bluetooth qui sont générés de façon aléatoire et changés toutes les 15 minutes. Mais en réalité, ce renouvellement n’est pas toujours synchrone. Il arrive que l’adresse MAC soit modifiée avant le pseudonyme, ou inversement. Les anciennes et nouvelles données d'identifications peuvent alors être associées, permettant l'identification des personnes pour mieux les suivre...

On apprend également que 5 modèles de smartphone commercialisés en Suisse et utilisant l’application SwissCovid, qui utilise l’interface de programmation Exposure Notifications d'Apple et Google, étaient vulnérables.
Les applications Corona-Warn en Allemagne, StoppCorona en Autriche ou Immuni en Italie sont potentiellement problématiques car utilisant la même technologie.

Un patch de sécurité devrait prochainement être proposé.

Ajouter un commentaire

 
×