L’application de recherche de contacts Covid-19 en Inde peut divulguer l’emplacement des patients

L’utilisation des données GPS par le système pourrait permettre aux hackers d’identifier les personnes qui signalent un diagnostic positif.

Alors que les pays du monde entier s’empressent de créer des applications pour smartphones qui peuvent aider à suivre la propagation de Covid-19, les défenseurs de la vie privée ont averti que ces systèmes pourraient, s’ils sont mal mis en œuvre, aboutir à un dangereux mélange de données de santé et de surveillance numérique. La nouvelle application indienne de recherche des contacts pourrait servir de leçon pour éviter ces écueils en matière de protection de la vie privée : Les chercheurs en sécurité affirment qu’elle pourrait révéler l’emplacement des patients du Covid-19 non seulement aux autorités gouvernementales mais aussi à tout pirate informatique suffisamment intelligent pour exploiter ses failles.

Baptiste Robert, chercheur indépendant dans le domaine de la sécurité, a publié un billet sur son blog qui met en garde contre l’application indienne Health Bridge, ou Aarogya Setu, créée par le Centre national d’informatique du gouvernement. Baptiste Robert a découvert qu’une des fonctionnalités de l’application, conçue pour permettre aux utilisateurs de vérifier s’il y a des personnes infectées à proximité, permettait au contraire aux utilisateurs d’usurper leur position GPS et de savoir combien de personnes se sont déclarées infectées dans un rayon de 500 mètres. Dans les régions où les rapports d’infection sont relativement rares, les hackers pourraient même utiliser une attaque par triangulation pour confirmer le diagnostic d’une personne qu’ils soupçonnent d’être infectée.

« Les développeurs de cette application ne pensaient pas que quelqu’un de malveillant serait capable d’intercepter ses requêtes et de les modifier pour obtenir des informations sur une zone spécifique », déclare Robert, un chercheur français connu en partie pour avoir trouvé des failles de sécurité dans le système d’identification nationale indien connu sous le nom de Aadhaar. « Avec la triangulation, vous pouvez voir de très près qui est malade et qui ne l’est pas. Honnêtement, ils n’ont pas envisagé cette utilisation de l’application ».

Les chercheurs en sécurité comme Robert ont concentré leur attention sur Aarogya Setu en partie à cause de son ampleur. Le gouvernement indien a déclaré l’application de recherche de contacts obligatoire pour de nombreux travailleurs et elle a déjà été téléchargée plus de 90 millions de fois selon les responsables du gouvernement.

Contrairement à de nombreuses applications déployées actuellement en Europe et bientôt aux États-Unis, Aarogya Setu trace les déplacements des personnes potentiellement infectées par GPS plutôt que par les seules données Bluetooth. Il peut servir de mise en garde contre le fait que des applications de recherche de contacts mal mises en œuvre, en particulier celles qui reposent sur des données de localisation, peuvent entraîner de graves fuites d’informations médicales sensibles.

« Je m’attends à ce que de nombreuses applications de recherche de contacts présentent ce type de problèmes, et je pense que celles qui reposent sur le GPS en particulier vont porter davantage atteinte à la vie privée », déclare Ashkan Soltani, un ancien technologue en chef de la Federal Trade Commission qui a examiné les conclusions de Robert et analysé d’autres applications de recherche de contacts. « Lorsque vous le liez à quelque chose comme l’état de santé, il n’est pas surprenant que ce type de conclusions puisse être fait ».

Robert a reconnu pour la première fois le problème de confidentialité d’Aarogya Setu lorsqu’il a analysé une fonction qui vérifie les rapports des personnes infectées dans un certain rayon. Il a découvert qu’en imitant ces requêtes depuis son ordinateur portable, il pouvait simplement usurper sa position, en modifiant les requêtes pour demander le nombre de personnes infectées dans un rayon de 500 mètres autour de n’importe quelle latitude et longitude.

Cette possibilité d’usurpation de GPS est déjà assez troublante en soi. Si une personne vit dans une région éloignée, elle pourrait facilement être identifiée comme étant séropositive au Covid-19. Mais Robert suggère que le mouchard pourrait également être utilisé pour effectuer une technique connue sous le nom de triangulation ou trilatération, permettant de trouver le statut Covid-19 déclaré d’une personne dans un endroit beaucoup plus ciblé.

« L’utilisation prévue des applications est une atteinte à la vie privée ».
Ashkan Soltani, ancien technologue de la FTC

Si un hacker suspecte que quelqu’un a le Covid-19, il pourrait vérifier une série de zones circulaires de 500 mètres qui se chevauchent autour de sa cible, en plaçant soigneusement les centres de ces cercles de manière à ce qu’ils ne couvrent pas le domicile de la cible, mais que les bords des cercles créent une frontière autour de celle-ci. Si chacune de ces zones de 500 mètres de rayon ne contient aucune personne infectée, le hacker dessine alors un nouveau cercle, cette fois-ci en plaçant son centre au-dessus du domicile de la personne. Si le nombre de personnes malades augmente d’une unité, le pirate peut en déduire qu’une personne infectée se trouve à cet endroit étroitement défini. « Si je veux savoir si les personnes qui se trouvent dans une maison sont malades, je peux tracer une limite autour de celle-ci et l’application me donnera le résultat », dit Robert.


Un exemple d’attaque par triangulation visant le Parlement indien : Si l’attaquant peut mesurer toutes les zones autour d’une cible, créant ainsi une frontière étroite, et déterminer qu’il n’y a pas de personnes infectées, (comme indiqué à gauche) il peut alors compter le nombre de personnes infectées à l’endroit de la cible avec beaucoup plus de précision (indiqué à droite). L’hexagone rouge représente la zone la plus précise où l’attaquant peut vérifier si un cas de Covid-19 a été signalé.

Cette astuce a de sérieuses limites. Bien que Robert affirme qu’il pourrait être utilisé pour déterminer l’emplacement d’une personne infectée par Covid-19 sur quelques mètres seulement dans chaque dimension, cela dépendrait largement de la précision des mesures de l’application. Robert dit qu’il n’a pas entièrement testé la technique, en partie pour éviter les violations de la vie privée. « J’ai fait le minimum pour valider que ça marchait », dit-il.

La triangulation serait également plus efficace lorsqu’une personne soupçonnée d’être positive au Covid-19 est le seul cas signalé dans un rayon d’environ un kilomètre. Cette dernière condition n’est pas aussi improbable qu’elle peut paraître, du moins pour l’instant. Malgré la forte densité de population en Inde, Robert a vérifié des zones de 500 mètres de rayon dans les zones centrales de New Delhi et a constaté que, dans la plupart des cas, seules une ou deux personnes avaient déclaré être positives pour Covid-19. Les zones rurales peuvent être des cibles beaucoup plus faciles.

Ni l’équipe d’intervention d’urgence informatique de l’Inde ni son centre informatique national n’ont répondu à la demande de commentaires de WIRED. Mais un compte Twitter pour le groupe de développeurs à l’origine de l’application a publié une déclaration, qui affirmait qu' »aucune information personnelle d’un utilisateur n’a été prouvée comme étant à risque », et qu' »aucune donnée ou faille de sécurité n’a été identifiée ». La déclaration semble également soutenir que la capacité d’un utilisateur à usurper un emplacement différent est une caractéristique plutôt qu’un bug : « L’utilisateur peut changer la latitude/longitude pour obtenir les données de plusieurs endroits.

La déclaration n’aborde pas la possibilité de cibler les utilisateurs par triangulation, mais indique qu’un pare-feu d’application web limite la fréquence des requêtes qu’un utilisateur peut faire à partir de l’application. Mais Robert souligne que la technique de triangulation pourrait nécessiter moins de 10 lectures de localisation à la suite, ce qu’il a trouvé facile à réaliser lors de ses tests. Avec plus de mesures, peut-être à partir de plusieurs comptes pour vaincre le pare-feu de l’application, un hacker pourrait déterminer avec plus de certitude l’état positif de Covid-19 d’une cible.

L’ancien technologue de la FTC, M. Soltani, affirme que même en tenant compte de la vulnérabilité de la triangulation, l’application indienne compromet davantage la vie privée en raison de ses fonctions de suivi de la localisation par GPS. « C’est l’utilisation prévue : Vous pouvez voir où les gens sont infectés, ce que nous considérons comme une violation de la vie privée mais aussi comme un besoin de santé publique », explique M. Soltani. « L’utilisation prévue des applications est une atteinte à la vie privée ».

La localisation a été un point de friction particulier dans les débats entre les développeurs d’applications de recherche de contacts et les défenseurs de la vie privée. Comme les traces du nouveau coronavirus laissées sur les surfaces peuvent infecter les personnes – ce que l’on appelle la « transmission environnementale » – certains développeurs d’applications ont fait valoir que la mesure de la proximité entre les utilisateurs avec le Bluetooth ne suffit pas à elle seule à détecter toutes les possibilités d’exposition. Mais la localisation, même si elle est effectuée de manière plus sûre que dans le cas d’Aarogya Setu, peut permettre aux autorités gouvernementales de connaître les mouvements des personnes, révélant potentiellement des activités sensibles allant des affaires extraconjugales aux groupes d’opposition politique. Même les systèmes cryptographiques complexes ne peuvent pas parfaitement protéger contre l’utilisation abusive de ces systèmes de localisation.

Mais Robert soutient qu’au-delà des questions plus profondes de respect de la vie privée et de santé publique dans les applications de recherche de contacts, les défauts d’Aarogya Setu montrent que les développeurs, dans certains cas, ne construisent même pas les applications avec des mesures de sécurité de base. « Ce que j’ai trouvé était super facile à faire, et je ne comprends pas pourquoi personne n’a jeté un coup d’œil avant moi », dit Robert. « Nous avons besoin de nouveaux outils pour lutter contre Covid-19. Nous sommes en pleine crise. Mais nous devons encore veiller à construire en tenant compte de la sécurité et de la vie privée ».

Via Wired

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.