Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Le Blog de jlduret

Le Blog de jlduret

Pensez juste ou pensez faux mais pensez par vous-même ! Depuis Socrate, le devoir du penseur n’est pas de répéter la doxa du moment mais de la questionner. Sans cette liberté d’exprimer opinions et pensées, point de démocratie.


L'application TousAntiCovid peut faire fuiter des données personnelles

Publié par jlduret sur 21 Août 2021, 12:24pm

Catégories : #Tousanticovid, #Pass sanitaire, #CNIL

 

Intégrée depuis juin dans l’application, la collecte de statistiques d’utilisation permet des corrélations entre les différentes données transmises au serveur. Et donc de dévoiler des informations sur les utilisateurs.

L'application TousAntiCovid peut faire fuiter des données personnelles
 
 

Traçage de contact par Bluetooth, traçage de contact dans les lieux, gestion du pass sanitaire… L’application TousAntiCovid contient de plus en plus de fonctionnalités, et ce n’est pas forcément une bonne chose. Trois chercheurs viennent d’analyser la collecte de statistiques que le gouvernement a activée depuis juin dernier.

Selon eux, cette dernière brique fonctionnelle casse le cloisonnement entre les différents usages et « met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles de traçage de contact Robert (traçage Bluetooth) et Cléa (traçage par QR-codes de lieux) », écrivent-ils dans un rapport.

Jugée très bavarde, cette collecte de statistiques est déclenchée en fonction d’une série d’évènements horodatés, ce qui permet d’enregistrer la plupart des actions réalisées par l’utilisateur dans un journal. « En croisant les évènements du journal, les fuites de données apparaissent », souligne Gaëtan Leurent, l’un des trois chercheurs, sur Twitter.

Vous déjeunez souvent avec un ami = l'application le sait !

Ainsi, des amis qui déjeunent souvent ensemble dans les restaurants vont avoir des évènements de type « lieu visité » presque synchrones. Ce qui permettrait de déduire qu’ils sont allés ensemble dans ces lieux et donc de construire un graphe social.

 

En croisant les logs du serveur Robert — qui récolte les pseudonymes de traçage Bluetooth — avec les données du serveur de statistiques, il est possible de relier les pseudonymes avec l’identifiant UUID utilisé pour le journal des évènements.

Le cloisonnement est réduit à néant.

 

Mais il y a bien pire

Le journal d’évènements enregistre également l’utilisation du convertisseur de certificat qui contient des données nominatives. « S’il croise ces données avec les logs du convertisseur de certificat, il peut retrouver l’identité des utilisateurs », souligne Gaëtan Leurent.

 

Au final, les trois chercheurs estiment que la copie est à revoir. La conception multifonctionnelle de l’application TousAntiCovid n’est pas satisfaisante, car les différents systèmes impliqués doivent être indépendants si l’on veut réduire le risque d’une fuite de données.

SourceINRIA

NDLR : Et la CNIL, censée nous protéger, elle fait quoi ? RIEN.

La seule chose à faire est de désactiver ce "curieux", ce qui n'empêche pas de montrer votre pass, mais n'enregistrera rien ….. enfin on l'espère.

Pour être informé des derniers articles, inscrivez vous :
Commenter cet article

Archives

Nous sommes sociaux !

Articles récents