TousAntiCovid : attention, vos données ne sont pas si bien protégées que cela
Lancée en fin d'année dernière, l'application mobile TousAntiCovid a été créée dans le cadre de la pandémie de Covid-19 et dans le but de lutter contre la diffusion du virus. L'application, qui a connu plusieurs mises à jour et l'ajout de différentes fonctionnalités, a récemment fait l'objet d'une étude, et il ressort que les données personnelles de ses utilisateurs pourraient être compromises.
TousAntiCovid : une application pour prévenir des transmissions
Lancée par le gouvernement, TousAntiCovid est une application mobile qui a été lancée le 22 octobre 2020 dans le but d'endiguer la pandémie de Covid-19. Il s'agit plus précisément d'une mise à jour de l'application initiale StopCovid, qui n'avait pas du tout fonctionné auprès des Français.
L'application fonctionne à l'aide du Bluetooth en basse consommation, et permet de rechercher des contacts et de les avertir d'une éventuelle transmission du virus avec une personne infectée. Un "carnet" avec les certificats de test et de vaccination est également intégré au sein de l'application, dans le cadre du "passe sanitaire".
L'application passée au crible
Jeudi 19 août 2021, trois chercheurs ont publié sur GitLab une analyse de risques concernant l'application mobile TousAntiCovid. Selon eux, l'application pourrait faire fuiter les données personnelles de ses utilisateurs. Ce problème serait dû à une nouvelle fonctionnalité installée en juin dernier.
Un système permettant de générer des statistiques a, en effet, été intégré dans l'application, notamment pour évaluer son utilisation et son efficacité. Mais cette fonctionnalité permettrait également de faire des corrélations entre les différentes données transmises aux serveurs et ainsi de révéler certaines données personnelles des utilisateurs.
Depuis juin, @TousAntiCovid collecte des statistiques pour évaluer l'application. Avec @gilbsgilbs et @JohanD_0, nous avons étudié la collecte de ces données: elles permettent d'identifier les utilisateurs, et de déduire des information de santé.https://t.co/xc9YmErOgm
— Gaëtan Leurent (@cryptosaurus6) August 19, 2021
Gaëtan Leurent, l'un des trois auteurs du rapport, a partagé sur son compte Twitter le rapport et explique dans différents posts les grandes lignes de son étude. Gaëtan Leurent est un cryptographe, c'est-à-dire qu'il sécurise les systèmes informatiques et les technologies de l'information en créant des algorithmes et des chiffres pour crypter les données.
L'étude des trois chercheurs dévoile que le serveur central de l'application TousAntiCovid peut :
-
Mettre en correspondance les différentes sources de données qui devraient être indépendantes
-
Identifier certains utilisateurs
-
Récupérer des informations sur la vie privée de certains utilisateurs (test positif, status vaccinal, relations sociales)
Vos données en danger
Les auteurs du rapport expliquent que la collecte de statistiques se déclenche à la suite d'une série d'événements horodatés. Les actions réalisées par l’utilisateur sont ensuite enregistrées dans un journal. L'un des chercheurs explique qu'"en croisant les événements du journal, les fuites de données apparaissent ".
Ainsi, si des amis mangent souvent ensemble au restaurant, ils auront des événements presque synchrones sur leurs applications respectives. Et cela permettrait de déduire facilement qu'ils étaient ensemble dans ces lieux.
Votre identité peut fuiter
Un autre point important soulevé dans le rapport est la possibilité de remonter à une fiche d'identité à partir de l'identifiant utilisateur anonymisé de l'application. Cette fiche identité comprend notamment le nom, la date de naissance et les informations vaccinales de la personne.
Le rapport affirme qu'il est possible de connaître l'identité d'un utilisateur et déduire aussi ses fréquentations.
" S’il croise ces données avec les logs du convertisseur de certificat, il peut retrouver l’identité des utilisateurs. "
Suite à leur études, les trois chercheurs estiment que l'application gouvernementale TousAntiCovid doit être améliorée, afin de réduire les risques de fuites de données, et notent que les différents systèmes impliqués devraient être indépendants.
Possibilité de désactiver la collecte de données
Si depuis juin dernier, l'application TousAntiCovid collecte des données de manière automatique sur chaque compte de ses utilisateurs, sachez qu'il est possible de désactiver cette fonctionnalité.
En vous rendant sur l'application mobile, sur la page d'accueil, descendez tout en bas de la page d'accueil et cliquez sur l'onglet "Paramètres". Descendez encore une fois tout en bas, la fonctionnalité "Statistiques et mesure d’audience" est en principe activé, si vous le souhaitez vous pouvez la désactiver et supprimer vos données par la même occasion.
Si cet article vous a intéressé, vous aimerez certainement découvrir comment l'éradication totale du virus est enfin envisageable.
C'est du n'importe quoi au niveau sécurité, malheureusement.
Tout ça ce n'est que du graphisme, de l'animation, en réalité rien n'est effacé et le traçage reste le même.
Que ce soit en appli ou en papier, le QR code -sous prétexte de crise sanitaire- nous habitue à être tracé et ouvre la porte à d'autre outils de traçage qui vont pas tarder à arriver.
Pour info cryptographeur n'existe pas.
Cryptographe oui! Dans votre cas les chercheurs ont mené une étude et on dû tester des attaques pour repérer les failles, donc de la cryptanalyse (cryptanalyste pour le métier).
Ça me fait quand même mal de voir ce genre d'erreur sur un site "geek"
Sinon vous demandez à Google, Facebook, Instagram ou autres et ils vous donneront la même information. Soit car ils la récupèrent à notre insu, soit parce que les gens le partagent volontairement à la terre entière.