StopCovid : fonctionnement, utilisation et sécurisation Bilan sur le déploiement de l’application StopCovid sur le territoire français. Analyse de son fonctionnement et de son niveau de sécurité.

Temps de lecture : 3 minutes

À l’instar de la Chine qui a déployé une application en collaboration avec Alipay pour réaliser un contact tracking des personnes infectées du COVID-19, ou de Singapour avec TraceTogether lancé mi-mars 2020, ou encore d’Israël avec Hamagen qui utilise les données de géolocalisation, la France a elle aussi lancé son application StopCovid le 2 juin 2020.

Adoptée par environ 2% de la population en 2 semaines, l’application StopCovid est encore loin de son efficacité optimale. En effet, certains experts considèrent qu’il faudrait que 50% à 60% de la population française la télécharge pour atteindre les objectifs fixés en terme de détection et sécurité sanitaire. Néanmoins, les coûts d’entretiens de cette application restent sensiblement élevés, ils se situeraient entre 200 000 € et 300 000 € mensuels pour l’hébergement et la maintenance, selon une estimation de L’Obs. Mais une autre question technique a bousculé son déploiement, celle de sa confidentialité et de sa sécurisation.

 

Ensembles des données exposées 

Les promesses initiales du gouvernement en terme de sécurité et de confidentialité assuraient une exposition réduite au minimum. Elles sont les suivantes :

  • Un identifiant unique, pour chaque utilisateur attribué par un serveur central contrôlé par l’État. Ce marqueur unique est lié au smartphone de l’utilisateur via son identifiant publicitaire, comme l’a révélé l’entreprise de cybersécurité mobile Pradeo, et il est protégé par un algorithme de chiffrement. Les utilisateurs de StopCovid échangent seulement les identifiants chiffrés entre smartphone via Bluetooth (protocole BLE), qui sont conservés sur une durée limitée par serveur central. En terme de cryptographie, seul ce serveur dispose de la clé de déchiffrement.

 

  • Si des personnes ont été testées positives au COVID-19, elles reçoivent un code à entrer dans l’application, afin d’ajouter à leur identifiant chiffré le fait qu’elles sont infectée (pour le signifier aux autres utilisateurs lors des interactions Bluetooth). L’identité des personnes malades peut être retrouvée, mais elle est protégé par de très nombreuses et solides couches de sécurité. C’est le type de données qui pourrait attirer la convoitise de personnes malintentionnées (par exemple pour réaliser un chantage financier).

 

  • Enfin, est conservé sur une durée limitée un historique des interactions entre les téléphones, et ainsi des personnes. Ces cartes des microcosmes sociaux individuels sont protégés par la clé de chiffrement détenue par le serveur central.

 

StopCovid ne récolte pas de données personnelles ni de données de géolocalisation. En conséquences, en plus d’être compliquée à lancer, une cyberattaque ne mènerait qu’à très peu d’informations, faisant ainsi de StopCovid une proie bien maigre, quoique glorieuse.

 

Tests de sécurité réalisés

Au cours de son développement accéléré, l’application StopCovid a tout de même traversé un processus de sécurisation renforcé.

  • L’Agence nationale de sécurité des systèmes informatiques (ANSSI) s’est impliquée et a mené plusieurs audits de sécurité, ainsi que des contrôles approfondis. L’ANSSI est le référant sur les questions de cybersécurité sur le territoire Français et intervient systématiquement sur les incidents critiques.

 

  • L’équipe de développement de StopCovid s’est pliée aux recommandations de l’Anssi. Elle a notamment changé l’algorithme de chiffrement qui protège l’identifiant des utilisateurs et garantit leur pseudonymat (pseudo-anonymat). Il existait en effet des failles sur l’ancien algorithme, mais aucunes connues sur le nouveau.

 

  • StopCovid a de plus été soumise à un programme de bug bounty pour parfaire sa sécurité. Pendant 5 jours, 21 hackers Français et Européens ont tenté de trouver des vulnérabilités dans l’application, et démontrer leurs exploitation à des fins malveillantes, contre récompense monétaire. Le bilan est plutôt rassurant : 12 bugs identifiés dont seulement 7 acceptés et rendus publics par YesWeHack, la plateforme commandité pour évaluer la sécurité de l’application. L’équipe du projet a indiqué que ces failles, désormais corrigées, ne mettraient  pas en danger les utilisateurs.

 

  • De plus, le programme de bug bounty organisé par YesWeHack est devenu accessible à tous. N’importe quel chercheur ou chercheuse en cybersécurité peut désormais remonter les éventuels problèmes, au cas où ils seraient passés au travers les étapes de sécurité antérieures.

 

Enfin, il faut savoir que le développement de l’application StopCovid a mobilisé l’INRIA,  l’ANSSI, Capgemini, Dassault Systèmes, l’INSERM, Lunabee, Orange, Santé Publique France et Withings, venant parfaire le processus de développement face aux contraintes liées à sa fonction, sa sécurité, et sa confidentialité.

 

Un résultat satisfaisant mais…

Certains experts pourront tout de même questionner le choix d’une approche centralisée pour l’application StopCovid. En effet, il suffirait aux hackers de compromettre un seul serveur central, contrôlé par l’État, pour compromettre l’application. Cependant, les garanties de sécurité avancées par l’État et les processus employés sont largement satisfaisants pour que la sécurité ne soit pas un élément discriminant lors du choix de l’installation de StopCovid.

Les promesses semblent donc tenues, mais il reste à faire, comme l’a révélé Mediapart lundi 15 juin, l’application collecte les identifiants de toutes les personnes croisées par un utilisateur, pas uniquement celles croisées à moins d’un mètre pendant quinze minutes (ce qui avait été annoncé). La Commission nationale informatique et libertés (CNIL) a fait savoir à Mediapart que des contrôles étaient « en cours » sur le sujet.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.