Une série de graves failles de sécurité ont été découvertes dans l’application de recherche des contacts que le NHS teste actuellement pour arrêter la propagation du Covid-19. Une équipe de chercheurs en sécurité expérimentés a découvert plusieurs problèmes pouvant affecter la confidentialité des utilisateurs et même saboter l'application elle-même. L'application est actuellement testée sur l'île de Wight avant un éventuel déploiement national et a été présentée par le gouvernement britannique comme une arme clé pour aider à arrêter l'épidémie.
Application de coronavirus du NHS
L'équipe à l'origine du rapport était composée du chercheur et conférencier indépendant Dr Chris Culnane et de Vanessa Teague, PDG de Thinking Cybersecurity. Parmi les « divers » problèmes découverts par les deux hommes, il y avait plusieurs faiblesses dans le processus d'enregistrement qui pourraient permettre aux attaquants de voler des clés de chiffrement. Cela pourrait permettre aux intrus d’empêcher les utilisateurs d’être avertis si l’un de leurs contacts était positif au Covid-19, ou même d’envoyer de fausses alertes. Il a également été constaté que l'application stocke des données non cryptées sur les téléphones qui peuvent être utilisées par la police pour déterminer quand deux personnes ou plus se rencontrent. L'équipe a également constaté que l'application générait un nouveau code d'identification aléatoire pour les utilisateurs une fois par jour, contrairement à une application rivale développée par Apple et Google qui générait un nouveau code toutes les 15 minutes pour plus de sécurité. L'application Apple et Google semble fonctionner sur les appareils Android et iOS qui utilisent des signaux Bluetooth de faible puissance pour créer une carte des personnes avec lesquelles un utilisateur a été en contact. Teague et Culnane recommandent que le NHS passe de l'approche « centralisée » qu'il utilise actuellement, où les données sont partagées et les contacts sont tracés sur un système de serveur central, à une approche « décentralisée », où la correspondance se produit entre les appareils des utilisateurs. "Il peut toujours y avoir des bugs et des failles de sécurité dans les modèles décentralisés ou centralisés", a déclaré Teague. "Mais la grande différence est qu'une solution décentralisée n'aurait pas de serveur central avec les contacts récents en face-à-face de chaque personne infectée." "Par conséquent, le risque de fuite ou d'utilisation abusive de cette base de données est bien moindre."
Alerter
L'équipe a déclaré avoir partagé ses conclusions avec le National Cyber Security Center (NCSC), qui a à son tour déclaré à la BBC qu'elle était déjà au courant de la plupart des problèmes soulevés et qu'elle était en train d'essayer de les résoudre. "J'espérais que des mesures telles que la publication du code et l'explication des décisions derrière l'application généreraient des discussions constructives avec la communauté de la sécurité et de la confidentialité", a déclaré un porte-parole du NCSC dans un communiqué. . "Nous sommes impatients de continuer à travailler avec des chercheurs en sécurité et en cryptographie pour rendre l'application la meilleure possible." "Cette application n'a jamais été parfaite dès le départ, mais il est rafraîchissant d'entendre que le gouvernement écoute les recherches indépendantes et accepte les suggestions lors des révisions futures", a déclaré Jake Moore, spécialiste de la cybersécurité chez ESET. « Comme pour de nombreuses applications, la première version est rarement utile, mais elle est disponible sur les téléphones des utilisateurs, où ils peuvent facilement déployer de nouvelles versions. « Une fois que la plupart des gens auront l'application, leurs intentions auront clairement de meilleurs effets. Cependant, le plus gros problème est l’absence évidente de législation protégeant ces données. Ne pas savoir si et comment les données pourraient être utilisées pour eux. L'avenir, ou même si elles seront supprimées, est important pour les utilisateurs. Il est essentiel que la vie privée du public soit au cœur. Sinon, le public peut vous rendre le application avant qu'elle n'ait eu le temps de se déployer auprès du bon nombre de personnes et d'avoir un effet." Via la BBC