Passer au contenu

L’application TousAntiCovid peut faire fuiter des données personnelles

Intégrée depuis juin dans l’application, la collecte de statistiques d’utilisation permet des corrélations entre les différentes données transmises au serveur. Et donc de dévoiler des informations sur les utilisateurs.

Traçage de contact par Bluetooth, traçage de contact dans les lieux, gestion du pass sanitaire… L’application TousAntiCovid contient de plus en plus de fonctionnalités, et ce n’est pas forcément une bonne chose. Trois chercheurs viennent d’analyser la collecte de statistiques que le gouvernement a activée depuis juin dernier. Selon eux, cette dernière brique fonctionnelle casse le cloisonnement entre les différents usages et « met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles de traçage de contact Robert (traçage Bluetooth) et Cléa (traçage par QR-codes de lieux) », écrivent-ils dans un rapport.

A découvrir aussi en vidéo :

 

Jugée très bavarde, cette collecte de statistiques est déclenchée en fonction d’une série d’évènements horodatés, ce qui permet d’enregistrer la plupart des actions réalisées par l’utilisateur dans un journal. « En croisant les évènements du journal, les fuites de données apparaissent », souligne Gaëtan Leurent, l’un des trois chercheurs, sur Twitter. Ainsi, des amis qui déjeunent souvent ensemble dans les restaurants vont avoir des évènements de type « lieu visité » presque synchrones. Ce qui permettrait de déduire qu’ils sont allés ensemble dans ces lieux et donc de construire un graphe social.

En croisant les logs du serveur Robert — qui récolte les pseudonymes de traçage Bluetooth — avec les données du serveur de statistiques, il est possible de relier les pseudonymes avec l’identifiant UUID utilisé pour le journal des évènements. Le cloisonnement est réduit à néant.

Mais il y a pire. Le journal d’évènements enregistre également l’utilisation du convertisseur de certificat qui contient des données nominatives. « S’il croise ces données avec les logs du convertisseur de certificat, il peut retrouver l’identité des utilisateurs », souligne Gaëtan Leurent.

Au final, les trois chercheurs estiment que la copie est à revoir. La conception multifonctionnelle de l’application TousAntiCovid n’est pas satisfaisante, car les différents systèmes impliqués doivent être indépendants si l’on veut réduire le risque d’une fuite de données.

Source: Rapport technique

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Dji Power 1000 2
Après les drones, DJI se lance dans les stations électriques portables
Iphone Daisy Recyclage
Recyclage : Apple détruirait des iPhone en état de fonctionner
Google Logo Flou
Google licencie des employés après des manifestations contre le « Projet Nimbus »
Huawei Pura 70
Huawei met en vitrine sa nouvelle gamme Pura 70
Drapeau européen
Le régulateur européen émet de fortes réserves sur le système « Payer ou Consentir » : quelles conséquences pour Meta ?
Nothing Ear (a) Une 1
Nothing Ear et Ear (a) : les écouteurs sans fil à moins de 150 euros repartent de zéro
Nouveau Robot Atlas Boston Dynamics
N’ayez pas peur, Boston Dynamics présente son nouveau robot humanoïde
Iphone 15 Apple
Vendu au prix de l’occasion, cet iPhone 15 neuf va partir comme des petits pains 🥖
Top téléchargements