Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Analyse de sécurité de l’application StopCovid

mai 2020 par Pradeo

Pradeo a été sollicitée pour participer à la dernière phase de tests de l’application mobile StopCovid (Android et iOS) et a analysé la version bêta mise à disposition par l’Inria. Les conclusions de cette analyse sont positives. L’application se restreint à la transmission des informations collectées par le Bluetooth et respecte les principes de protection de la vie privée.

Le projet, lancé par le gouvernement français et piloté par l’Inria, complètera les outils de lutte contre la COVID-19 en brisant les chaines de transmission du virus. L’application sera distribuée sur le store à partir de lundi prochain et a été rendue libre d’accès dans le cadre de la dernière phase de tests de l’application. Pradeo a effectué une analyse complète de l’application StopCovid en se concentrant sur les critères de sécurité et de protection de la vie privée. Cette nouvelle application gouvernementale vient enrichir l’étude portant sur 30 applications nationales destinées au suivi de la COVID-19.

Niveau de sécurité

Bien que volumineuse en terme de code source, l’application s’articule autour de 3 fonctions principales destinées à mettre en relation les utilisateurs à proximité via le Bluetooth et transmettre ces informations. L’application s’appuie plus particulièrement sur le BLE (Bluetooth Low Energy) pour effectuer les interactions entre smartphone. Comme son nom l’indique, ce protocole a détrôné le bluetooth classique en optimisant significativement la consommation d’énergie. L’application demande les permissions Bluetooth android.permission.BLUETOOTH et android.permission.BLUETOOTH_ADMIN ainsi que la géolocalisation. L’application identifie son smartphone via l’identifiant publicitaire. Les informations qui sont envoyés vers le réseau sont celles relatives à la connexion Bluetooth et correspondent aux identifiants du smartphone où se trouve l’application et des smartphones qui ont été détecté à proximité. L’application ne réalise pas de connexions non sécurisées ou de chargement de code. Elle compte moins de 10 vulnérabilités et n’intègre pas de librairie publicitaire ou réseaux sociaux.

Niveau de confidentialité

L’application StopCovid ne demande et n’envoie aucune donnée à caractère personnelle.
Une fonctionnalité de scan intégrée à l’application permet de numériser un QR code fourni par le médecin en cas de diagnostic positif à la COVID-19.

En conclusion, l’application de tracking française prend la première place ex aequo avec l’Allemagne dans le classement des applications COVID nationales réalisé par Pradeo.

Pour plus d’informations : https://blog.pradeo.com/fr/analyse-...




Voir les articles précédents

    

Voir les articles suivants