Des dizaines d’applications comme StopCovid ont des failles de sécurité

Il existe déjà des applications de traçage des contacts pour la lutte contre le coronavirus. L’expert en sécurité mobile Pradeo a jeté un coup d’œil à 30 applications en service et évoque la présence de failles de sécurité « plus ou moins critiques ».

Plus de la moitié de ces applications gouvernementales ou soutenues par des organismes publics portent atteinte à la vie privée et trois figurent en tête de palmarès avec le pire score possible à la fois sur la sécurité et sur la confidentialité : celles de la Turquie (koronaonlem.saglik.gov.tr), du Royaume-Uni (covid.joinzoe.com) et des États-Unis (howwefeel.org). Ces applications proposées sont « clairement problématiques », selon l’équipe de recherche.

Les applications les plus sécurisées et garantissant le mieux la confidentialité de l’usager sont pour l’instant celles développées en Allemagne (disponible uniquement sur montre connectée pour collecter les données de santé comme le pouls ou le sommeil), au Brésil et en Israël.

Sur le volet de la sécurité, le bonnet d’âne de l’étude revient aux applications nécessitant le chargement d’un code externe, qui a alors accès à l’application et peut potentiellement servir de porte d’entrée à un logiciel malveillant. À cela s’ajoute les connexions non sécurisées, en moyenne huit par application.

En France, l’application de traçage des contacts sera StopCovid. Elle sera disponible à partir du 2 juin et ne s’appuiera pas sur l’API commune d’Apple et Google. La France veut se passer des groupes technologiques et leur système décentralisé pour passer par une solution maison qui est centralisée avec les données envoyées sur des serveurs.