Analyse de sécurité de l’application StopCovid

Posted by Roxane Suau on 29 mai 2020 10:47:50

Pradeo a été sollicitée pour participer à la dernière phase de tests de l’application mobile StopCovid (Android et iOS) et a analysé la version bêta mise à disposition par l’Inria.

Les conclusions de notre analyse sont positives. L’application se restreint à la transmission des informations collectées par le Bluetooth et respecte les principes de protection de la vie privée.

 

stopcovid_analyse_securite

 

Le projet, lancé par le gouvernement français et piloté par l’Inria, complètera les outils de lutte contre la COVID-19 en brisant les chaines de transmission du virus. L’application sera distribuée sur le store à partir du 2 juin et a été rendue libre d’accès dans le cadre de la dernière phase de tests de l’application. Pradeo a effectué une analyse complète de l’application StopCovid en se concentrant sur les critères de sécurité et de protection de la vie privée. Cette nouvelle application gouvernementale vient enrichir l’étude portant sur 30 applications nationales destinées au suivi de la COVID-19.

 

Niveau de sécurité

Bien que volumineuse en terme de code source, l’application s’articule autour de 3 fonctions principales destinées à mettre en relation les utilisateurs à proximité via le Bluetooth et transmettre ces informations. L’application s’appuie plus particulièrement sur le BLE (Bluetooth Low Energy) pour effectuer les interactions entre smartphone. Comme son nom l’indique, ce protocole a détrôné le bluetooth classique en optimisant significativement la consommation d’énergie.

L’application demande les permissions Bluetooth android.permission.BLUETOOTH et android.permission.BLUETOOTH_ADMIN ainsi que la géolocalisation.

L’application identifie son smartphone via l’advertising Bluetooth. Les informations qui sont envoyés vers le réseau sont celles relatives à la connexion Bluetooth et correspondent aux identifiants du smartphone où se trouve l’application et des smartphones qui ont été détecté à proximité. 

L’application ne réalise pas de connexions non sécurisées ou de chargement de code. Elle compte moins de 10 vulnérabilités mineures et n’intègre pas de librairie publicitaire ou réseaux sociaux.

 

Niveau de confidentialité

L’application StopCovid ne demande et n’envoie aucune donnée à caractère personnel.

Une fonctionnalité de scan intégrée à l’application permet de numériser un QR code fourni par le médecin en cas de diagnostic positif à la COVID-19.

En conclusion, l’application de tracking française prend la première place ex aequo avec l’Allemagne dans le classement des applications COVID nationales réalisé par Pradeo.

 

Détails de notre évaluation

Critères d’évaluation

Statut

ACTIVITES MALVEILLANTES

Malwares connus

Menaces “0-day” et avancées

Chargement dynamique de code

Non détecté

Non détecté

Non

TRAITEMENT DES DONNEES

Données de l’utilisateur

Enregistrements audio et vidéo

Localisation

Informations sur l’utilisateur (nom, numéro de téléphone, …)

Fichiers de l’utilisateurs

SMS/MMS

Profil de l’utilisateur

Contacts

Journal d’appel

 

Envoyé (scan QR code)

Non manipulé

Non manipulé


Non manipulé

Non manipulé

Non manipulé

Non manipulé

Non manipulé

Données du telephone       

Information sur la connexion Bluetooth

Version du système

Information sur le matériel

 

Envoyé

Envoyé

Envoyé

COMMUNICATIONS

Connexions non certifiées

Emission d’appel

2

Visible

VULNERABIILITES

Criticité faible et moyenne

Criticité élevée

<10

Lié au mode “développement” encore actif sur la version Beta

 

Topics: Sécurité Mobile, Sécurité des Applications Mobiles