Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Un chercheur de la société F-Secure aide à renforcer la sécurité du test COVID-19 de l’entreprise Ellume

décembre 2021 par F-Secure

Un chercheur de F-Secure a identifié plusieurs défauts de conception sur le kit de test COVID-19 à domicile proposé par la société Ellume. Il a ensuite apporté son aide au fabricant afin de corriger le problème. Les défauts de conception permettaient de falsifier le résultat de ce test certifié, qui bénéficie d’une autorisation d’utilisation d’urgence aux États-Unis.

Le COVID-19 Home Test d’Ellume est un test antigénique à réaliser soi-même. Au lieu de soumettre un échantillon à un centre de test, les utilisateurs effectuent eux-mêmes le prélèvement nasal à l’aide du kit, puis testent l’échantillon à l’aide de l’analyseur Bluetooth inclus. Cet analyseur communique ensuite le résultat à l’utilisateur, ainsi qu’aux autorités sanitaires via l’application Android ou iOS d’Ellume.

C’est l’analyseur Bluetooth qui a retenu l’attention du consultant en sécurité Ken Gannon, spécialiste en sécurité mobile. Ken Gannon a découvert qu’il était possible de falsifier les résultats, entre le moment où l’analyseur Bluetooth effectue le test, et celui où le résultat est communiqué via l’application.

Après avoir falsifié un résultat, Ken Gannon et l’un de ses collègues ont été redirigés par Ellume vers un service tiers de vérification vidéo. Ce processus vise à vérifier l’identité des individus testés, qui doivent présenter un test négatif pour certaines activités, ainsi que pour l’entrée aux États-Unis*. Ils ont ainsi pu obtenir un certificat sanitaire.

« Notre recherche consistait à changer un résultat négatif en test positif, mais l’opération fonctionnait aussi dans le sens inverse. Jusqu’à ce qu’Ellume apporte les correctifs nécessaires, des individus ou des groupes pouvaient contourner les mesures de lutte contre le COVID via ce procédé, à condition qu’ils possèdent une haute expertise en cybersécurité », explique Ken Gannon. « En exploitant ces failles, un individu doté des compétences techniques nécessaires aurait pu obtenir, pour lui ou ses complices, un résultat négatif à chaque test. »

Ken Gannon a communiqué ses découvertes à Ellume, qui a rapidement enquêté, puis confirmé le problème. L’entreprise a procédé sans attendre à plusieurs améliorations, pour empêcher la falsification des résultats des tests.

« Ellume a mis à jour son système pour détecter les résultats falsifiés et empêcher leur transmission. Nous avons analysé l’ensemble des résultats et pouvons confirmer qu’aucun autre résultat n’a été affecté. Nous allons par ailleurs mettre en place un portail de vérification pour permettre aux autorités, services de santé, employeurs, écoles, et organisateurs d’événements de vérifier l’authenticité du test COVID-19 à domicile proposé par Ellume », explique Alan Fox, responsable des systèmes d’information d’Ellume.

« Notre test ECHT était déjà l’un des plus sûrs du marché et, grâce aux connaissances de F-Secure, il est désormais encore plus sûr. Il affiche une fiabilité bien supérieure à celle des tests non-numériques, qui peuvent être facilement falsifiés en versant simplement du soda ou de l’eau sur le test, ce qui ne nécessite aucune compétence spécifique. Ellume affiche toute sa confiance dans la fiabilité de son test ECHT. Nous tenons à remercier F-Secure d’avoir attiré notre attention sur ce problème et nous saluons son engagement à protéger les particuliers, les entreprises et les organisations du monde entier », poursuit Alan Fox.

Si Ken Gannon a enquêté sur le test d’Ellume par curiosité professionnelle, il rappelle que des individus ou groupes mal intentionnés auraient pu, quant à eux, tirer parti de ces défauts de conception.

« En tant que chercheur, lorsque nous disséquons les technologies en recherchant des défauts de conception, nous le faisons à des fins de recherche. Les résultats nous permettent ensuite d’aider les entreprises à rendre leurs produits plus sûrs. À l’inverse, des individus ou des groupes malintentionnés peuvent tenter d’exploiter ces mêmes failles pour atteindre des objectifs malveillants. Dans le cas présent, certains utilisateurs auraient pu contourner les mesures de santé publique destinées à combattre la pandémie de COVID. Je suis donc heureux d’avoir pu aider Ellume à améliorer l’intégrité de ses tests », explique Ken Gannon.




Voir les articles précédents

    

Voir les articles suivants