Coffre-fort, bug bounty, chiffrement… L'Anssi livre ses recommandations sur l'application StopCovid
L'Anssi émet un ensemble de recommandations sur StopCovid à destination de l'Inria, l'organisme de recherche qui chapeaute le développement de l'application. L'agence préconise entre autres l'utilisation d'un coffre-fort électronique, la création de dispositifs de gestion des vulnérabilités et des attaques informatiques, le recours à un algorithme de chiffrement…
L'agence nationale de sécurité des systèmes d'information (Anssi) a publié le 27 avril 2020 une liste de recommandations sur l'application de pistage numérique StopCovid en cours de développement. L'organisme français épaule l'Institut national de recherche en informatique et en automatique (Inria), en charge du développement de l'application, sur le volet cybersécurité. A noter que l'Inria n'est pas tenue par ces préconisations.
"Coffre-offre électronique"
"La sécurisation de l’application apparaît primordiale pour veiller à sa fiabilité et à la confiance que les professionnels de santé chargés de gérer la crise sanitaire et les utilisateurs lui accorderont", note l'Anssi. En premier lieu, l'agence recommande l'utilisation d'un "coffre-fort électronique matériel ou logiciel" pour protéger les informations envoyées par le téléphone sur le serveur central. Le protocole Robert, sur lequel repose StopCovid, fonctionne via un serveur centralisé et un ensemble décentralisé de smartphones. Une situation qui a été largement critiqué par des chercheurs estimant que le risque d'abus de pouvoir et de cyberattaques était élevé. A ce sujet, le gendarme de la cybersécurité recommande à l'Inria la création de dispositifs de gestion des vulnérabilités et des attaques informatiques.
StopCovid repose sur l'utilisation du Bluetooth pour enregistrer les interactions sociales sans recourir aux données de géolocalisation. Pour l'Anssi, ce choix est judicieux mais à une condition. Elle demande "aux futurs utilisateurs de mettre régulièrement à jour leur téléphone pour limiter les risques liés à l'usage de cette technologie". Un avertissement qui risque de rester lettre morte car la grande majorité des propriétaires de smartphone n'effectuent que les mises à jour obligatoires.
L'utilisation d'un algorithme de chiffrement
Par ailleurs, l'agence recommande l'utilisation de l'algorithme "Skinny-64/192" pour le chiffrement des pseudonymes. Le protocole Robert prévoit que le smartphone de l'utilisateur recevra un ensemble d'identifiants toutes les 15 minutes. "Bien que récent, cet algorithme a été largement étudié et son analyse n'a révélé aucune faiblesse en termes de sécurité. Il offre de plus, d'excellentes performances", note le gendarme.
Les travaux menés par l'Anssi seront publiés sous licence open source afin de "garantir l'amélioration continue du dispositif" et "la correction d'éventuelles vulnérabilités". En outre, tout au long de la conception de l'application, l'Anssi recommande à l'Inria de procéder à des audits et de contrôles de sécurité. L'agence préconise également qu'un audit "de type bug bounty" soit mené en parallèle.
SUR LE MÊME SUJET
Coffre-fort, bug bounty, chiffrement… L'Anssi livre ses recommandations sur l'application StopCovid
Tous les champs sont obligatoires
0Commentaire
Réagir