Ainsi, des millions d'utilisateurs de smartphones à travers le monde sont encouragés à télécharger des applications qui surveillent leurs relations avec d'autres utilisateurs. Ce système de recherche des contacts est vendu comme une réponse totalement sûre et respectant la vie privée. Les deux géants américains des smartphones, Apple et Google, ont pris le contrôle direct de la situation pour s'assurer qu'il n'y ait aucun incident. Qu'est-ce qui pourrait mal tourner ?
Si seulement la vie était aussi simple. Une nouvelle vidéo des chercheurs en sécurité Serge Vaudenay et Martin Vuagnoux, partagée via Hackaday, affirme qu'il y a une faille dans le système de traçage sécurisé qui permet de suivre les utilisateurs. Le POC a ciblé l'application SwissCovid de la Suisse, mais les chercheurs affirment que cette faille fonctionne sur d'autres applications utilisant le système de notification de contacts d'Apple et de Google.
Les détails ne sont pas si importants ici - c'est une faille qui a été découverte et nous attendons de savoir si elle sera corrigée. Plus précisément, toute application de cette envergure présentera inévitablement des défauts, que ce soit au départ ou lors de sa mise à jour continue. C'est particulièrement le cas ici, où plusieurs applications nationales reposent sur cette infrastructure logicielle. L'optique n'est cependant pas bonne pour Apple et Google, étant donné la manière dont ils ont revendiqué un niveau de confidentialité et de sécurité très strict et ont essentiellement obligé d'autres entreprises à les rejoindre.
Ironiquement, la portée de cette infrastructure logicielle a été étendue cette semaine, avec le lancement de l'iOS 13.7 d'Apple qui étend sa capacité même lorsque les applications n'ont pas été installées par les utilisateurs. Android fera de même prochainement. Avant cela, le principal problème des applications de recherche de contacts était l'adoption. Si un nombre insuffisant de personnes téléchargent les applications et y adhèrent, le système ne fonctionne pas.
L'autre problème avec l'approche d'Apple et de Google, bien sûr, a été qu'ils ont refusé de donner aux autorités sanitaires chargées de notre sécurité l'accès au marquage de localisation ou à l'identification des utilisateurs. Quelle ironie, donc, que cette faille ait été mise à nu.
Le système fonctionne en échangeant des numéros d'identité uniques mais anonymes entre les utilisateurs lorsque les radios bluetooth de leurs appareils détectent qu'ils sont à proximité. Ces numéros d'identité ne peuvent pas être liés à un utilisateur spécifique, c'est la théorie. Mais lorsqu'un utilisateur est infecté, toute personne ayant un de ses numéros d'identité est avertie par le biais de chaque appareil qui télécharge une liste de numéros infectés.
Tous très privés, tous très anonymes, tous très sûrs. Apple et Google modifient même l'identifiant bluetooth de l'appareil, et pas seulement celui du système de recherche des contacts, pour le protéger doublement.
La faille, cependant, révèle une lacune : un numéro a été mis à jour (l'identifiant de notification d'exposition), mais l'autre (l'adresse de l'appareil) ne l'a pas été. Cela a créé un flux de données continu et superposé qui peut être utilisé pour suivre un utilisateur. Théoriquement.
Les chercheurs considèrent cette trace d'identifiants comme des cailloux, d'où la référence à "Petit Poucet", une fable française à l'image d'Hansel et Gretel. En réalité, il y a peu de risques pour les utilisateurs dans le monde réel. Un attaquant doit être à portée de bluetooth et vous suivre partout - il existe des moyens plus faciles pour cela. En outre, la faille ne fonctionne que sur environ la moitié des appareils testés.
C'est une leçon en matière de conséquences involontaires. C'est également remarquable étant donné que le système d'Apple et de Google repose sur la sécurité et le respect de la vie privée et sur la prévention de toute forme de suivi des utilisateurs. Comme toujours avec de telles vulnérabilités, il y a un risque pour ceux qui pourraient être suivis par des agences ou autres. Si la recherche de contacts est activée sur votre appareil, elle peut être utilisée pour suivre vos déplacements par un tiers prêt à y consacrer du temps, des efforts et de l'argent. Cela dit, il est très peu probable que quelqu'un qui nourrit de telles inquiétudes permette une forme quelconque de suivi sur son smartphone, même la recherche de contact Covid-19.
Apple et Google ont tous deux été contactés pour tout commentaire concernant cette nouvelle.
Si seulement la vie était aussi simple. Une nouvelle vidéo des chercheurs en sécurité Serge Vaudenay et Martin Vuagnoux, partagée via Hackaday, affirme qu'il y a une faille dans le système de traçage sécurisé qui permet de suivre les utilisateurs. Le POC a ciblé l'application SwissCovid de la Suisse, mais les chercheurs affirment que cette faille fonctionne sur d'autres applications utilisant le système de notification de contacts d'Apple et de Google.
Les détails ne sont pas si importants ici - c'est une faille qui a été découverte et nous attendons de savoir si elle sera corrigée. Plus précisément, toute application de cette envergure présentera inévitablement des défauts, que ce soit au départ ou lors de sa mise à jour continue. C'est particulièrement le cas ici, où plusieurs applications nationales reposent sur cette infrastructure logicielle. L'optique n'est cependant pas bonne pour Apple et Google, étant donné la manière dont ils ont revendiqué un niveau de confidentialité et de sécurité très strict et ont essentiellement obligé d'autres entreprises à les rejoindre.
Ironiquement, la portée de cette infrastructure logicielle a été étendue cette semaine, avec le lancement de l'iOS 13.7 d'Apple qui étend sa capacité même lorsque les applications n'ont pas été installées par les utilisateurs. Android fera de même prochainement. Avant cela, le principal problème des applications de recherche de contacts était l'adoption. Si un nombre insuffisant de personnes téléchargent les applications et y adhèrent, le système ne fonctionne pas.
L'autre problème avec l'approche d'Apple et de Google, bien sûr, a été qu'ils ont refusé de donner aux autorités sanitaires chargées de notre sécurité l'accès au marquage de localisation ou à l'identification des utilisateurs. Quelle ironie, donc, que cette faille ait été mise à nu.
Le système fonctionne en échangeant des numéros d'identité uniques mais anonymes entre les utilisateurs lorsque les radios bluetooth de leurs appareils détectent qu'ils sont à proximité. Ces numéros d'identité ne peuvent pas être liés à un utilisateur spécifique, c'est la théorie. Mais lorsqu'un utilisateur est infecté, toute personne ayant un de ses numéros d'identité est avertie par le biais de chaque appareil qui télécharge une liste de numéros infectés.
Tous très privés, tous très anonymes, tous très sûrs. Apple et Google modifient même l'identifiant bluetooth de l'appareil, et pas seulement celui du système de recherche des contacts, pour le protéger doublement.
La faille, cependant, révèle une lacune : un numéro a été mis à jour (l'identifiant de notification d'exposition), mais l'autre (l'adresse de l'appareil) ne l'a pas été. Cela a créé un flux de données continu et superposé qui peut être utilisé pour suivre un utilisateur. Théoriquement.
Les chercheurs considèrent cette trace d'identifiants comme des cailloux, d'où la référence à "Petit Poucet", une fable française à l'image d'Hansel et Gretel. En réalité, il y a peu de risques pour les utilisateurs dans le monde réel. Un attaquant doit être à portée de bluetooth et vous suivre partout - il existe des moyens plus faciles pour cela. En outre, la faille ne fonctionne que sur environ la moitié des appareils testés.
C'est une leçon en matière de conséquences involontaires. C'est également remarquable étant donné que le système d'Apple et de Google repose sur la sécurité et le respect de la vie privée et sur la prévention de toute forme de suivi des utilisateurs. Comme toujours avec de telles vulnérabilités, il y a un risque pour ceux qui pourraient être suivis par des agences ou autres. Si la recherche de contacts est activée sur votre appareil, elle peut être utilisée pour suivre vos déplacements par un tiers prêt à y consacrer du temps, des efforts et de l'argent. Cela dit, il est très peu probable que quelqu'un qui nourrit de telles inquiétudes permette une forme quelconque de suivi sur son smartphone, même la recherche de contact Covid-19.
Apple et Google ont tous deux été contactés pour tout commentaire concernant cette nouvelle.
source :
https://www.forbes.com/sites/zakdoffman/2020/09/04/apple-iphone-google-android-contact-tracing-app-upgrade-release-phone-tracking-warning/#6291b0545e8a