TousAntiCovid : attention, vos données ne sont pas si bien protégées que cela

24 août 2021 à 16h30 dans Informatique

Lancée en fin d'année dernière, l'application mobile TousAntiCovid a été créée dans le cadre de la pandémie de Covid-19 et dans le but de lutter contre la diffusion du virus. L'application, qui a connu plusieurs mises à jour et l'ajout de différentes fonctionnalités, a récemment fait l'objet d'une étude, et il ressort que les données personnelles de ses utilisateurs pourraient être compromises.

TousAntiCovid : attention, vos données ne sont pas si bien protégées que cela

TousAntiCovid : une application pour prévenir des transmissions

Lancée par le gouvernement, TousAntiCovid est une application mobile qui a été lancée le 22 octobre 2020 dans le but d'endiguer la pandémie de Covid-19. Il s'agit plus précisément d'une mise à jour de l'application initiale StopCovid, qui n'avait pas du tout fonctionné auprès des Français.

L'application fonctionne à l'aide du Bluetooth en basse consommation, et permet de rechercher des contacts et de les avertir d'une éventuelle transmission du virus avec une personne infectée. Un "carnet" avec les certificats de test et de vaccination est également intégré au sein de l'application, dans le cadre du "passe sanitaire".

L'application passée au crible

Jeudi 19 août 2021, trois chercheurs ont publié sur GitLab une analyse de risques concernant l'application mobile TousAntiCovid. Selon eux, l'application pourrait faire fuiter les données personnelles de ses utilisateurs. Ce problème serait dû à une nouvelle fonctionnalité installée en juin dernier. 

Un système permettant de générer des statistiques a, en effet, été intégré dans l'application, notamment pour évaluer son utilisation et son efficacité. Mais cette fonctionnalité permettrait également de faire des corrélations entre les différentes données transmises aux serveurs et ainsi de révéler certaines données personnelles des utilisateurs.

Depuis juin, @TousAntiCovid collecte des statistiques pour évaluer l'application. Avec @gilbsgilbs et @JohanD_0, nous avons étudié la collecte de ces données: elles permettent d'identifier les utilisateurs, et de déduire des information de santé.https://t.co/xc9YmErOgm

— Gaëtan Leurent (@cryptosaurus6) August 19, 2021

Gaëtan Leurent, l'un des trois auteurs du rapport, a partagé sur son compte Twitter le rapport et explique dans différents posts les grandes lignes de son étude. Gaëtan Leurent est un cryptographe, c'est-à-dire qu'il sécurise les systèmes informatiques et les technologies de l'information en créant des algorithmes et des chiffres pour crypter les données.

L'étude des trois chercheurs dévoile que le serveur central de l'application TousAntiCovid peut :

Vos données en danger

Les auteurs du rapport expliquent que la collecte de statistiques se déclenche à la suite d'une série d'événements horodatés. Les actions réalisées par l’utilisateur sont ensuite enregistrées dans un journal. L'un des chercheurs explique qu'"en croisant les événements du journal, les fuites de données apparaissent ".

Ainsi, si des amis mangent souvent ensemble au restaurant, ils auront des événements presque synchrones sur leurs applications respectives. Et cela permettrait de déduire facilement qu'ils étaient ensemble dans ces lieux.

Votre identité peut fuiter

Un autre point important soulevé dans le rapport est la possibilité de remonter à une fiche d'identité à partir de l'identifiant utilisateur anonymisé de l'application. Cette fiche identité comprend notamment le nom, la date de naissance et les informations vaccinales de la personne.

Le rapport affirme qu'il est possible de connaître l'identité d'un utilisateur et déduire aussi ses fréquentations. 

" S’il croise ces données avec les logs du convertisseur de certificat, il peut retrouver l’identité des utilisateurs. "

Suite à leur études, les trois chercheurs estiment que l'application gouvernementale TousAntiCovid doit être améliorée, afin de réduire les risques de fuites de données, et notent que les différents systèmes impliqués devraient être indépendants.

Possibilité de désactiver la collecte de données

Si depuis juin dernier, l'application TousAntiCovid collecte des données de manière automatique sur chaque compte de ses utilisateurs, sachez qu'il est possible de désactiver cette fonctionnalité.

En vous rendant sur l'application mobile, sur la page d'accueil, descendez tout en bas de la page d'accueil et cliquez sur l'onglet "Paramètres". Descendez encore une fois tout en bas, la fonctionnalité "Statistiques et mesure d’audience" est en principe activé, si vous le souhaitez vous pouvez la désactiver et supprimer vos données par la même occasion.

Si cet article vous a intéressé, vous aimerez certainement découvrir comment l'éradication totale du virus est enfin envisageable.

count
Commentaires (6)
J'ai pas téléchargé l'appli je préfère avoir mon pass sanitaire en version papier c'est tout aussi bien
photo de profil de therealdoc Par therealdoc, il y a 3 ans Répondre
Non mais même le QRcode du suivi vaccinal est totalement en libre accès (pas codé rien)... donc de base ça fait des données patients qui se baladent!

C'est du n'importe quoi au niveau sécurité, malheureusement.
photo de profil de Corvid Par Corvid, il y a 3 ans Répondre
..."si vous le souhaitez vous pouvez la désactiver et supprimer vos données par la même occasion."...

Tout ça ce n'est que du graphisme, de l'animation, en réalité rien n'est effacé et le traçage reste le même.

Que ce soit en appli ou en papier, le QR code -sous prétexte de crise sanitaire- nous habitue à être tracé et ouvre la porte à d'autre outils de traçage qui vont pas tarder à arriver.
photo de profil de Sessla Oui Par Sessla Oui, il y a 3 ans Répondre
*envoyé depuis mon Iphone
photo de profil de Murge Par Murge, il y a 3 ans (en réponse à Sessla Oui) Répondre
Bonjour Hitek,
Pour info cryptographeur n'existe pas.
Cryptographe oui! Dans votre cas les chercheurs ont mené une étude et on dû tester des attaques pour repérer les failles, donc de la cryptanalyse (cryptanalyste pour le métier).
Ça me fait quand même mal de voir ce genre d'erreur sur un site "geek"
photo de profil de apopiette Par apopiette, il y a 3 ans Répondre
"Ainsi, si des amis mangent souvent ensemble au restaurant, ils auront des événements presque synchrones sur leurs applications respectives. Et cela permettrait de déduire facilement qu'ils étaient ensemble dans ces lieux."
Sinon vous demandez à Google, Facebook, Instagram ou autres et ils vous donneront la même information. Soit car ils la récupèrent à notre insu, soit parce que les gens le partagent volontairement à la terre entière.
photo de profil de JeSuisUnRobot Par JeSuisUnRobot, il y a 3 ans Répondre
Laisser un commentaire

Vous répondez à . Annuler