Pradeo a été sollicitée pour participer à la dernière phase de tests de l’application mobile StopCovid (Android et iOS) et a analysé la version bêta mise à disposition par l’Inria.
Les conclusions de notre analyse sont positives. L’application se restreint à la transmission des informations collectées par le Bluetooth et respecte les principes de protection de la vie privée.
Le projet, lancé par le gouvernement français et piloté par l’Inria, complètera les outils de lutte contre la COVID-19 en brisant les chaines de transmission du virus. L’application sera distribuée sur le store à partir du 2 juin et a été rendue libre d’accès dans le cadre de la dernière phase de tests de l’application. Pradeo a effectué une analyse complète de l’application StopCovid en se concentrant sur les critères de sécurité et de protection de la vie privée. Cette nouvelle application gouvernementale vient enrichir l’étude portant sur 30 applications nationales destinées au suivi de la COVID-19.
Niveau de sécurité
Bien que volumineuse en terme de code source, l’application s’articule autour de 3 fonctions principales destinées à mettre en relation les utilisateurs à proximité via le Bluetooth et transmettre ces informations. L’application s’appuie plus particulièrement sur le BLE (Bluetooth Low Energy) pour effectuer les interactions entre smartphone. Comme son nom l’indique, ce protocole a détrôné le bluetooth classique en optimisant significativement la consommation d’énergie.
L’application demande les permissions Bluetooth android.permission.BLUETOOTH et android.permission.BLUETOOTH_ADMIN ainsi que la géolocalisation.
L’application identifie son smartphone via l’advertising Bluetooth. Les informations qui sont envoyés vers le réseau sont celles relatives à la connexion Bluetooth et correspondent aux identifiants du smartphone où se trouve l’application et des smartphones qui ont été détecté à proximité.
L’application ne réalise pas de connexions non sécurisées ou de chargement de code. Elle compte moins de 10 vulnérabilités mineures et n’intègre pas de librairie publicitaire ou réseaux sociaux.
Niveau de confidentialité
L’application StopCovid ne demande et n’envoie aucune donnée à caractère personnel.
Une fonctionnalité de scan intégrée à l’application permet de numériser un QR code fourni par le médecin en cas de diagnostic positif à la COVID-19.
En conclusion, l’application de tracking française prend la première place ex aequo avec l’Allemagne dans le classement des applications COVID nationales réalisé par Pradeo.
Détails de notre évaluation
|
Critères d’évaluation |
Statut |
|
ACTIVITES MALVEILLANTES |
✔ |
|
Malwares connus Menaces “0-day” et avancées Chargement dynamique de code |
Non détecté Non détecté Non |
|
TRAITEMENT DES DONNEES |
✔ |
|
Données de l’utilisateur Enregistrements audio et vidéo Localisation Informations sur l’utilisateur (nom, numéro de téléphone, …) Fichiers de l’utilisateurs SMS/MMS Profil de l’utilisateur Contacts Journal d’appel |
Envoyé (scan QR code) Non manipulé Non manipulé
Non manipulé Non manipulé Non manipulé Non manipulé |
|
Données du telephone Information sur la connexion Bluetooth Version du système Information sur le matériel |
Envoyé Envoyé Envoyé |
|
COMMUNICATIONS |
✔ |
|
Connexions non certifiées Emission d’appel |
2 Visible |
|
VULNERABIILITES |
✔ |
|
Criticité faible et moyenne Criticité élevée |
<10 Lié au mode “développement” encore actif sur la version Beta |
