L'application de traçage numérique StopCovid est-elle dans l'impasse ? Alors que le Premier ministre Edouard Philippe a admis que le débat parlementaire à son sujet est repoussé faute de savoir si elle fonctionnera le 11 mai, les experts en cybersécurité rappellent qu'une telle application suscite de nombreuses questions et craignent des attaques.

«En matière de sécurité informatique, on a l'habitude de dire que rien n'est jamais totalement sécurisé», rappelle Fred Raynal, patron de Quarkslab, société experte dans la recherche en matière de cybersécurité, avant de souligner : «l'outil informatique permet de réaliser des choses en un temps record et s'avère très flexible, mais si vous voulez faire de la qualité et inclure un haut niveau de sécurité, cela implique du temps».

L'ANONYMISATION ILLUSOIRE ET UN RISQUE DE CHASSE AUX SORCIÈRES

Point sujet à débat : l'anonymisation. Et les risques ne sont pas nuls. «On ne peut pas parler d'anonymisation qui est un terme illusoire, mais plutôt de pseudonymisation», prévient Fred Raynal. Dans son fonctionnement, l'appli StopCovid pourrait générer des pseudonymes aléatoirement plusieurs fois dans la journée afin de communiquer entre les différents téléphones. Le problème est la déduction que voudront faire les utilisateurs prévenus qu'ils ont croisé un malade. Si l'application ne fournira pas l'identité de cette personne, ni son pseudonyme, les utilisateurs peuvent quant à eux se demander qui ils ont croisé dans la journée. L'épicier du quartier, le médecin venu consulter à domicile, la gardienne de l'immeuble... ? Avec «le risque d'assister à de véritables chasses aux sorcières, comme ça a été le cas en Corée du Sud, exacerbant la stigmatisation des personnes à risque», prévient un groupe de chercheurs de l'Inria, dans son rapport Le traçage anonyme, dangeureux oxymore.

Le bluetooth n'est pas infaillible

L'application StopCovid, voulue par le gouvernement, repose à l'heure actuelle sur plusieurs technologies afin d'assurer au mieux sa conformité avec le RGPD et le respect de la vie privée et des données qui y sont liées. Reste que cette appli, qui a pour but de montrer s'il on a potentiellement croisé un porteur du Covid-19, est confrontée à plusieurs problèmes.

Le plus important ouvre le débat du choix du Bluetooth pour tracer numériquement les utilisateurs de l'application. «L'usage du GPS a été écarté car cette technologie de géolocalisation est très invasive. Elle répond en effet plus que de besoins à ce que l'on attend de cette application. Car la question ici n'est pas de savoir où vous allez, mais de savoir si vous avez été en contact avec un malade. La géolocalisation n'est donc pas un facteur. Le choix du Bluetooth permet donc de savoir si une personne malade qui utilise l'application à été proche de vous, peu importe le lieu», explique Fred Raynal.

Toutefois les cybercriminels pourraient tirer parti du Bluetooth, en s'appuyant notamment sur des attaques par canaux auxiliaires. «Ces attaques ont pour but d'observer un système et de suivre son comportement pour en déduire des informations de manière indirecte. Par exemple, dans le cas de StopCovid, quelqu'un qui observerait les utilisateurs pourrait en déduire si elles sont contaminées ou pas, puisque les téléphones des contaminés s'activeront à chaque fois pour que StopCovid prévienne les autres utilisateurs qu'ils ont été potentiellement en contact avec le virus», détaille-t-il.

D'autres risques sont également en vue. En février dernier, une faille de sécurité majeure a été découverte dans la technologie Bluetooth. Dénommée BlueFrag, celle-ci nécessite simplement que le Bluetooth soit activé sur un smartphone (chose courante aujourd'hui en raison des objets connectés et des écouteurs sans fil). Et l'attaquant peut prendre le contrôle du mobile sans problème pour exécuter un code en arrière-plan, notamment, afin de récupérer des données, le tout sans besoin de mot de passe et sans intervenir physiquement sur le mobile. Si un correctif a depuis été apporté (pensez à avoir la dernière mise à jour), «il n'en demeure pas moins que le Bluetooth peut faire l'objet d'attaques et l'on craint encore d'autres failles», commente Fred Raynal.

Autre voie qui pourrait être explorée par les cybercriminels, la récupération de données auprès des opérateurs téléphoniques. Ceux-ci ont l'obligation légale de stocker des données liées à leurs clients. «Quelqu'un qui pourrait pénétrer ce type de système pourrait récupérer aussi des informations liées à StopCovid», ajoute-t-il, en soulignant que toutes ces données pourraient notamment intéresser la mafia, habituée à revendre tout type de données ou à faire chanter des personnes atteintes du Covid-19.