CoviD-19 : Concentrer la recherche en sécurité informatique sur la Bluetooth
Aujourd’hui le Bluetooth est au cœur de plusieurs débats.
Qui aurait cru cela il y a quelques mois. Une technologie qui il y a sous peut semblait has-been et qui est aujourd’hui au cœur d’une technologie qui est en train d’être développée pour contenir la progression du virus.
Cet article va aussi vous intéresser : Traçage mobile : le Bluetooth et ses vulnérabilités, toujours au cœur des débats
Selon des experts et non des moindres, cette technologie présente plusieurs vulnérabilités pour être utilisé dans ce contexte. C’est pour cette raison Niels Schweisshelm, le directeur du programme technique de la firme américaine HackerOne recommande aux développeurs de se concentrer sur la sécurité de cette technologie. Dans une lancée similaires le responsable de la stratégie de cybersécurité de VMware Carbon Black, Tom Kellermann a également souligné l’importance de tester de façon régulière les logiciels de recherche de contacts pour une détection en amont des vulnérabilités, ce qui facilitera la publication de correctifs de sécurité rapidement contre les failles critiques. Il a souligné que ces applications devraient être configurées de sorte à recevoir les mises à jour automatiquement. Il conseillera par la suite aux utilisateurs, dans un contexte de prévention, de n’activer le Bluetooth qu’au moment de quitter leurs domiciles, pour éviter qui ne soit à tout moment actif. Tout en limitant de manière effectif, les paramètres de localiser.
De plus, qui parle de sécurité parlons aussi aussi de la gestion des données qui seront récoltées. En effet, « Toute information personnelle identifiable collectée doit être correctement stockée et cryptée », declare Stas Protassov, même si pour lui, les données ne doivent pas être stockées du tout. Mais à défaut plusieurs précautions doivent être prises pour éviter une quelconque fuite de données massives. Pour le président d’Acronis, les gouvernants doivent prendre l’exemple sur Singapour. Exiger plus de transparence dans la gestion et la collecte de données dans le cadre de ce genre d’application, tout en ayant une vue claire et nette de comment les données sont collectées, de qui en a accès et bien sûr de comment est-ce qu’elles sont stockées, surtout comment fonctionne la question de l’identification des personnes concernées. GovTech, une agence Nationale décrit comment fonctionne une de ses applications, contact tracing : « il crée un identifiant temporaire qui est généré en cryptant l’identifiant de l’utilisateur avec une clé privée, qui est détenue par le ministère de la Santé. L’identifiant temporaire est ensuite échangé avec les téléphones voisins et renouvelé régulièrement, ce qui rend difficile l’identification ou le lien entre l’identifiant temporaire et l’utilisateur. (…) Votre téléphone stockera les identifiants temporaires des téléphones voisins, ainsi que des informations sur le modèle du téléphone voisin, la puissance du signal Bluetooth et l’heure. Toutes ces informations sont stockées localement sur votre téléphone, et ne sont pas envoyées au ministère de la Santé, à moins que votre contact ne soit retracé ».
Par ailleurs. Pour certains Spécialistes, tel Zulfikar Ramzan, directeur technique de la RSA, le Bluetooth n’est pas aussi vulnérable que cela est dit. En effet, il estime que cette technologie a acquis suffisamment de maturité et est assez fiable qu’une bonne partie de protocoles récents. Mais cela n’exclut pas le fait que les utilisateurs doivent constamment s’assurer leurs smartphones sont constamment mis à jour et que les fournisseurs fassent suffisamment d’efforts pour améliorer la sécurité de leur appareil, car aucun système informatique n’est suffisamment protégé pour éviter tout attaques informatiques. Toutefois, pour ce dernier, le Bluetooth est totalement préférable à certaines technologies telle que le GPS, car lui n’exige pas certaines informations tels que le positionnement géographique afin de fonctionner correctement. « Du point de vue de la protection de la vie privée, il est souhaitable de mettre en place des applications de contact tracing qui recueillent le minimum d’informations nécessaires pour déterminer si deux personnes sont en contact l’une avec l’autre. Pour ce faire, il n’est pas nécessaire de collecter des informations précises sur la localisation, mais plutôt de déterminer si deux personnes se trouvent au même endroit », concluait-t-il.
L’expert ne manque pas de soulever la question de la vie privée. Car, qui dit collecte de données dis aussi mise en danger des certains droits fondamentaux des utilisateurs : « Nous vivons aujourd’hui un âge d’or de la surveillance où nos actions laissent derrière elles des petits cailloux numériques. En corrélant les données collectées par les applications de contact tracing avec d’autres données de surveillance, le niveau d’exposition de la vie privée peut considérablement augmenter », déclare-t-il. C’est d’ailleurs pour cette raison que le directeur technique Asie Pacifique de la firme de cybersécurité Checkpoint déclarait que les utilisateurs devraient se poser plusieurs questions avant de télécharger une application de traçage : « Je voudrais également savoir à quelles autres applications ou autorisations cette application a accès. Une sorte de déclaration officielle indiquant que les données personnelles sont protégées sera nécessaire avant que je ne télécharge et n’utilise ces applications ».
Accédez maintenant à un nombre illimité de mot de passe :