Covid-19 : une énorme faille découverte

msn.com – Actualité – Technologie – Digital – Covid-19 : une énorme faille découverte dans l’API de contact tracing conçue par Apple et Google.

Par Gilbert KALLENBORN – Vendredi 04 septembre 2020 à 19h19

Un manque de synchronisation dans le renouvellement des codes envoyés par Bluetooth permet de suivre une personne à la trace. C’est justement ce que voulaient éviter les deux géants de l’informatique.

© 01net.com Covid-19 : une énorme faille découverte dans l’API de contact tracing conçue par Apple et Google

Les chercheurs Serge Vaudenay et Martin Vuagnoux, de l’École polytechnique fédérale de Lausanne (EPFL) viennent de révéler une importante faille dans la technologie de contact tracing d’Apple et Google, à savoir l’interface de programmation « Exposure Notifications ». Cette vulnérabilité permet, par une simple collecte passive des messages Bluetooth dans une zone, de suivre une personne à la trace.

En théorie, ce risque ne devrait pas exister, car les trames diffusées par les smartphones au travers du système d’Apple et Google contiennent des pseudonymes et des adresses MAC Bluetooth qui sont générés de façon aléatoire et changés toutes les 15 minutes. Mais en réalité, ce renouvellement n’est pas toujours synchrone. Il arrive que l’adresse MAC soit modifiée avant le pseudonyme, ou inversement. Ce décalage trivial permet alors d’associer les nouvelles valeurs aux anciennes, et donc de réaliser un suivi.

© 01net.com Image

Les chercheurs ont baptisé cette attaque « Petit poucet ». En effet, les trames intermédiaires, qui contiennent à la fois une ancienne valeur et une nouvelle, jouent un peu le rôle des petits cailloux blancs dans ce conte d’enfant. En les collectant, elles permettent de ne jamais perdre le fil dans les renouvellements des identifiants.

Dans une vidéo de démonstration, les chercheurs expliquent avoir testé 8 smartphones compatibles avec l’application SwissCovid, qui utilise l’interface de programmation « Exposure Notifications ». Résultat : cinq d’entre eux étaient vulnérables.

Les chercheurs ont également pu exploiter cette faille dans d’autres applications utilisant cette même technologie, telle que Corona-Warn en Allemagne, StoppCorona en Autriche ou Immuni en Italie. Il est d’ailleurs probable que toutes les applications fondées sur « Exposure Notifications » soient vulnérables. L’application française StopCovid n’est évidemment pas concernée, car elle ne s’appuie pas sur le système d’Apple et Google.

La balle est maintenant dans le camp de ces deux géants informatiques qui doivent fournir un patch. Un travail que les chercheurs ne pouvaient pas faire, car l’API n’est pas entièrement open source. Ce qui est dommage.

Lire la Source : https://www.msn.com/fr-fr/actualite/technologie-digital/covid-19-une-%c3%a9norme-faille-d%c3%a9couverte-dans-lapi-de-contact-tracing-con%c3%a7ue-par-apple-et-google/ar-BB18IvIN

Par Bernard TRITZ

Coronavirus, Apple – Google traçage intégré

20minutes.fr – High-tech – Coronavirus : Apple et Google intègrent le traçage dans leurs smartphones. HIGH-TECH : Les propriétaires des téléphones devront accepter qu’il soit activé afin de savoir s’ils ont ou non croisé le chemin de porteurs du virus.

Par 20 Minutes avec AFP * Publié le 02/09/20 à 18h03 — Mis à jour le 02/09/20 à 18h03

Apple et Google intègrent le traçage du Covid-19 dans leurs smartphones. — Chuck Nacke/REX/SIPA

Les géants américains poursuivent leurs actions de traçage. Google et Apple vont intégrer directement dans leurs smartphones la solution de traçage des contacts qu’ils proposent pour suivre au mieux la progression du Covid-19, éliminant ainsi le besoin de concevoir et télécharger une application dédiée.

Les deux avaient lancé en avril un outil permettant aux détenteurs de smartphones équipés du logiciel iOS d’Apple ou Android de Google d’échanger des informations, via Bluetooth, avec des applications développées par des autorités de santé publique. Ces dernières, téléchargeables depuis les boutiques en ligne des deux groupes, permettent à leurs utilisateurs d’être prévenus s’ils ont croisé dans les jours précédents un autre utilisateur contaminé par le coronavirus.

Plus besoin d’applications : Les futures versions d’iOS et d’Android, les systèmes d’exploitation les plus utilisés sur les smartphones à travers la planète, intégreront désormais directement le système de notification d’exposition. Les autorités publiques n’ont ainsi plus besoin de concevoir leur propre application de traçage. Les propriétaires des téléphones devront accepter qu’il soit activé afin de savoir s’ils ont ou non croisé le chemin de porteurs du virus.

« Nous permettons (aux autorités de santé publique) d’utiliser plus facilement et plus rapidement le système de notifications d’exposition sans avoir à créer et à maintenir une application », ont souligné les deux entreprises dans un communiqué commun mardi.

La nouvelle solution proposée leur apporte une « option supplémentaire » pour compléter leur palette d’outils de traçage. Elle sera compatible avec les applications utilisant le système développé initialement par Apple et Google. Cette évolution était prévue dès le départ.

Lire la Source : https://www.20minutes.fr/high-tech/2852435-20200902-coronavirus-apple-google-integrent-tracage-smartphones

© Bernard TRITZ