Une faille dans l'application TousAntiCovid peut révéler les données personnelles de tous les utilisateurs
Trois chercheurs (Johan D., Nils L. et Gaëtan Leuren) viennent de publier une étude qui dévoile des failles pouvant entraîner des fuites de données dans l'application TousAntiCovid.
En juin dernier, TousAntiCovid s'est équipé d'un module de télémétrie qui permet d'obtenir de nouvelles données pour évaluer l'application. Par contre, elle fragilise la protection de la vie privée des utilisateurs. Selon ces chercheurs, la collecte de statistiques contredit le principe de minimisation des données et met en danger les propriétés de sécurité et de protection de la vie privée.
Cette nouvelle fonction intégrée dans TousAntiCovid sur les smartphones Android et les iPhone, pose problème puisque son mode de fonctionnement met en péril la sécurité et la protection de la vie privée de tous les utilisateurs de cette application.
Pourtant, le gouvernement était clair à ce sujet. Il est d'ailleurs précisé sur le site officiel, que TousAntiCovid ne stocke aucun historique de proximité d'un téléphone mobile et aucune autre donnée.
Cette mise à jour, qui a eu lieu le 1er juin 2021 récolte des statistiques afin d'améliorer les performances de l'application. Depuis cette mise à jour, l'application envoie un journal d'événements dans lequel se retrouvent une quantité d'informations faisant état des actions de l'utilisateur. L'application intègre en effet un petit module télémétrique qui permet de générer des statistiques.
En croisant ces données, à partir des " lieux visités " et en recoupant l'horodatage, il est par exemple possible de savoir si plusieurs personnes se sont rencontrées. Bien que l'identité d'un utilisateur reste anonyme sur l'application, le convertisseur de certificat, qui enregistre les résultats d'un test PCR ou d'une vaccination, connaît la fiche d'identité de l'individu. Et, comme le journal d'événements enregistre aussi les données de ce convertisseur, il est également possible de connaître l'identité de l'utilisateur.
Ces dernières révélations vont donc à l'encontre des promesses de vie privée faites par le gouvernement. Deux questions se posent : pourquoi le journal d'évènements détaillés et le système l'horodatage précis permettent d'obtenir et d'enregistrer de nombreuses informations sur chaque personne ? Toutefois, deux questions se posent : est-ce une faille intentionnelle ou simplement une erreur au niveau de la conception de l'application ?