Apple et Google ont fait la une des journaux lorsqu’ils ont annoncé qu’ils allaient travailler ensemble pour offrir le suivi des contacts aux smartphones du monde entier. Cette pratique, maintenant en place dans de nombreux pays, a été essentielle pour ralentir la pandémie de COVID-19 et empêcher une propagation communautaire étendue du virus mortel.
Bien que Google et Apple aient publié l’API pour le suivi des contacts sur leurs appareils respectifs,
les deux sociétés ne sont pas responsables du développement d’applications qui font le travail réel.
Au lieu de cela, ils laissent cette tâche aux développeurs locaux et aux autorités sanitaires pour s’adapter
à leurs populations spécifiques. Appuyez ou cliquez ici pour voir comment fonctionne l’API de suivi des contacts.
Mais maintenant, alors que plusieurs de ces applications approchent d’une version officielle,
les chercheurs en sécurité craignent qu’ils ouvrent les smartphones à des violations potentielles de la vie privée
et des données. Voici pourquoi ils sont préoccupés, ainsi que les problèmes spécifiques qui peuvent
causer des problèmes sur la route.
De nouvelles préoccupations émergent concernant les applications de suivi des contacts
Les applications de suivi des contacts utilisant Google et l’API conjointe d’Apple sont très attendues par les responsables de la santé et le grand public. Mais les chercheurs de Checkpoint Security ont exprimé leur scepticisme quant à la sécurité de ces programmes pour les utilisateurs.
Selon un nouveau rapport publié le 11 juin, Checkpoint a noté que les développeurs centrent leur conception sur l’échange de données Bluetooth qui se produit pendant le processus de recherche des contacts.
Bien qu’il n’y ait rien d’intrinsèquement dangereux dans cet aspect de la conception, la firme craint
qu’un développement hâtif ne conduise à des failles de sécurité dont les cybercriminels peuvent profiter.
Heureusement, la recherche des contacts est un programme volontaire, et vous devez vous inscrire pour utiliser les applications et l’API. Cela dit, suffisamment de gens sont impatients d’utiliser ces systèmes que Checkpoint a souligné quatre problèmes de sécurité principaux à connaître:
- Bluetooth: Checkpoint note que bien que l’API rende censément les paquets de données Bluetooth échangés par l’API anonymes et cryptés, un développement bâclé de la part des créateurs d’applications pourrait conduire des pirates à associer des données Bluetooth à des téléphones spécifiques. Cela pourrait révéler involontairement des informations personnelles contenues sur l’appareil.
- Données personnelles: Les applications (y compris les applications de suivi des contacts) ont tendance à stocker de grandes quantités de données utilisateur telles que les journaux de contacts, les clés de chiffrement et les informations d’identification personnelle. Si les applications ne sont pas correctement «en bac à sable» (stockées et exécutées dans une zone sécurisée du système d’exploitation), les données pourraient être potentiellement accédées et exploitées. Encore une fois, ce serait un problème de développeur.
- GPS: Les applications sont censées s’appuyer sur Bluetooth pour l’échange de données, mais il est possible qu’un développeur puisse activer le GPS pour aider à localiser les événements de super-diffusion. Cela pourrait révéler aux pirates informatiques où les utilisateurs se sont rendus, ou pire, où ils vivent.
- Vol d’identité: Si des données personnelles étaient téléchargées dans l’application de suivi des contacts (comme le statut COVID-19, les contacts d’urgence, l’adresse, le numéro de téléphone ou le prénom et le nom), les pirates détournant l’échange de paquets de données pourraient facilement obtenir ces données et les utiliser à des fins personnelles .
Tous ces problèmes sont assez importants et pourraient faire hésiter le grand public à utiliser ces applications à l’avenir. Aux développeurs d’applications: écoutez. La sécurité des données de vos utilisateurs est entre vos mains dès maintenant!
Que puis-je faire pour protéger mes informations si j’utilise une application de suivi de contacts?
Si les développeurs accélèrent le processus de publication, les mesures de sécurité essentielles pourraient être
ignorées et mettre des millions de personnes en danger de fraude et de vol.
Si vous choisissez d’utiliser une application de recherche de contacts pour rester informé de la menace
COVID-19 dans votre région, voici quelques étapes à suivre pour protéger vos informations:
- Problèmes de Bluetooth: Le Bluetooth est essentiel au processus de recherche des contacts, mais vous n’avez pas besoin de l’avoir activé lorsque vous n’êtes pas à proximité de grands groupes. Le téléphone diffusera en continu son signal Bluetooth en arrière-plan lorsque vous utilisez l’application de recherche des contacts. La désactivation de Bluetooth lorsque vous n’êtes pas dans la foule ou dans les lieux publics peut réduire vos risques.
Pour désactiver Bluetooth sur iOS:
Ouvrez l’application Paramètres et appuyez sur Bluetooth. Basculez l’interrupteur vert en position Arrêt. Rallumez-le à nouveau lorsque vous vous rendrez dans des zones surpeuplées et souhaitez recevoir des alertes.
Pour désactiver Bluetooth sur Android:
Ouvrez l’application Paramètres et appuyez sur Appareils connectés, puis sur Préférences de connexion. Appuyez sur Bluetooth et basculez le commutateur pour le désactiver. Rallumez-le à nouveau lorsque vous vous rendrez dans des zones surpeuplées et souhaitez recevoir des alertes.
- Données personnelles: Évitez de conserver des informations personnelles comme les adresses e-mail, les mots de passe et les numéros de téléphone dans des zones facilement accessibles comme vos notes ou rappels.
- GPS: Tout comme avec Bluetooth, désactivez les services de localisation et le GPS lorsque vous visitez des zones surpeuplées. Cela réduira votre risque d’activité malveillante. La désactivation du GPS ne devrait pas affecter les fonctionnalités de recherche des contacts qui reposent sur Bluetooth.
Pour désactiver les services de localisation sur iOS: ouvrez l’application Paramètres et appuyez sur Confidentialité. Appuyez sur Services de localisation et tournez la bascule en position Arrêt.
Pour désactiver les services de localisation sur Android: Ouvrez l’application Paramètres et appuyez sur Localisation. En haut, désactivez l’option Utiliser l’emplacement.
- Vol d’identité: Si vous utilisez des informations d’identification personnelle avec votre application de recherche de contacts, assurez-vous qu’elles sont stockées dans un emplacement sécurisé comme l’application Apple Health. Tout comme avec d’autres données personnelles, le garder hors d’une zone cryptée peut signifier une exposition aux pirates et aux cybercriminels.
Étant donné que la plupart de ces applications de suivi des contacts sont encore en développement,
nous n’aurons pas une image plus claire de leurs risques réels tant qu’elles ne seront pas publiées pour que
nous puissions les examiner de plus près. En attendant, espérons que les développeurs tiennent compte
des avertissements. Se faire voler son identité après avoir reçu une alerte d’exposition au COVID-19
ne fera qu’ajouter l’insulte aux blessures.