CE QUE DIT L'ETUDE DE PRADEO SUR LA SECURITE DE 30 APPLICATIONS NATIONALES STOP-COVID DANS LE MONDE
L’entreprise montpelliéraine Pradeo, spécialisée dans la sécurité des terminaux mobiles et des objets connectés, a conduit une étude sur le niveau de sécurité et d’atteinte à la vie privée de 30 applications mobiles nationales Stop-Covid dans le monde. En attendant d’auditer l’application française, Pradeo révèle des résultats pas forcément de nature à rassurer les plus récalcitrants…
L'entreprise montpelliéraine Pradeo, dirigée par Clément Saad, est spécialisée dans la sécurité des terminaux mobiles et des objets connectés, et sécurise les flottes de terminaux, les applications et les données.
Son laboratoire vient de réaliser une étude sur le niveau de sécurité et d'atteinte à la vie privée de 30 applications mobiles nationales choisies par les gouvernements de 30 pays pour assurer le suivi du Covid-19.
« Nous nous sommes positionnés pour auditer Stop-Covid France, mais ce ne sera pas avant le 2 juin prochain, déclare Clément Saad. Aujourd'hui, l'enjeu est plus politique que technologique... En attendant, naturellement, on s'est demandé si les inquiétudes autour de ces applications étaient légitimes, d'où cette étude. Je suis assez surpris car sur les 30 applications testées, trois sont plutôt très mauvaises, ce qui est surprenant pour des applications d'État. »
QUEL NIVEAU DE SÉCURITÉ ET DE CONFIDENTIALITÉ
Les deux paramètres observés par Pradeo sont le niveau de sécurité (vulnérabilités, connexions non sécurisées, présence de librairie de publicité ou de réseaux sociaux, chargement de code dynamique) et le niveau de confidentialité (demande de données personnelles, demande de numéro de téléphone, demande et/ou envoi de la géolocalisation à des sources externes, envoi des contacts à des sources externes).
« La note de sécurité indique s'il y a des trous dans la raquette qui peuvent être exploités, et celle de confidentialité si l'application est curieuse ou non en termes de récupération de données, explique Clément Saad. Ce qui fait monter les scores en matière de sécurité, c'est par exemple quand l'application nécessite de télécharger un code externe plus tard, ce qui peut générer quelque chose de malveillant sans que vous le sachiez. C'est donc un manque de transparence. Concernant la vie privée, si l'application récupère des données mais que c'est anonyme parce qu'il n'y a pas authentification, c'est embêtant mais pas grave. S'il y a authentification, c'est grave ! Autre critère qui fait lever le drapeau rouge : si les données envoyées restent des données d'État, ça va, mais elles sont aussi parfois envoyées sur Apple et Google, et ça, ce n'est pas bon. »
TROIS APPLICATIONS PROBLÉMATIQUES MAIS L'ALLEMAGNE SÉCURE
En fonction des résultats observés, Pradeo a attribué aux applications une « note de criticité » de 1 (faible niveau) à 3 (haut niveau).
Ce qu'il ressort de l'étude, c'est que 17 applications sur 30 obtiennent une (mauvaise) note globale de 3, dont celles de l'Argentine, le Koweït, l'Espagne, l'Australie, l'Autriche, la Corée ou l'Islande, parmi lesquelles trois se distinguent comme clairement problématiques, aux États-Unis, au Royaume-Uni et en Turquie.
Autres observations : plus de la moitié des applications porte atteinte à la vie privée, 17 étant notées 3 sur la confidentialité. Et toutes les applications présentent des failles de sécurité plus ou moins critiques : 3 sont de niveau 3 (États-Unis, au Royaume-Uni et en Turquie) et 14 de niveau 2.
Les plus sûres sont les applications choisies en Allemagne, en Israël et au Brésil, les trois étant notées 1 dans les deux catégories, et même 0 sur la confidentialité pour l'application allemande.
Clément Saad nuance concernant Israël ou la Corée en précisant que seule l'application est notée, et non les pratiques gouvernementales (par exemple le traçage des utilisateurs par les opérateurs directement en Israël).
L'expert observe surtout que « aucune, sauf l'application allemande, n'arrive à fonctionner sans rien demander »... Outre une note de 0 sur la confidentialité (soit aucune donnée personnelle demandée et pas d'envoi des contacts et de la géolocalisation), l'application allemande obtient la note de 1 en sécurité.
SILENCE RADIO DE CÉDRIC O
Dans le détail, l'étude de Pradeo révèle que 43 % des 30 applications font la demande de données personnelles, 33 % la demande du numéro de téléphone, 17 % la demande de géolocalisation et 7 % aucune demande de données personnelles.
Sur la manipulation des données, 23 % présentent un risque élevé d'envoi de la géolocalisation vers des sources externes, été 17 % d'envoi des contacts.
Les applications affichent une moyenne de 8 connexions non sécurisées chacune (pour un maximum de 35) et une moyenne de 11 vulnérabilités (pour un maximum de 26).
En attendant de voir ce que révèlera l'application Stop-Covid choisie par le gouvernement français, Clément Saad met en garde contre toutes les autres applications déjà disponibles sur les stores qui ont fleuri sur le sujet et qui sont loin d'offrir toutes les garanties en matière de traitement des données.
Le dirigeant avoue toutefois une certaine amertume : « J'ai écrit au cabinet de Cédric O (secrétaire d'État chargé du Numérique, NDLR) pour proposer que Pradeo participe à la conception de StopCovid France, mais personne ne nous a jamais répondu... ».