D'ici la fin du mois, la population suisse pourra choisir d'installer ou non l'application Swisscovid sur son smartphone. Mais des experts indépendants alertent sur de nouvelles vulnérabilités du système actuellement en test. Le risque de cyberattaques est jugé élevé.
En effet, le chercheur de l'EPFL Serge Vaudenay et Martin Vuagnoux de l'entreprise Base23 à Genève ont détecté une faille importante dans les systèmes de Google et d'Apple, qui font fonctionner Swisscovid sur nos smartphones. Leur étude conclut notamment que "les données diffusées par Bluetooth peuvent être modifiées avec malveillance. Cela peut faciliter des attaques par la diffusion de faux cas positifs".
Faux cas positifs
Le scénario inquiète Paul-Olivier Dehaye, expert mathématicien basé à Genève, reconnu mondialement pour avoir mis au jour l'affaire Cambridge Analytica et directeur de la société PersonalData.IO: "Tout un chacun peut écouter les 'postillons' bluetooth que vous émettez. Même à plus de 10 mètres ou encore à distance via d'autres applications. Par exemple je peux les capter, les voir, les filtrer. Je détecte ceux qui sont associés à SwissCovid. Avec un bout de code, je peux les modifier et je peux les stocker et j'ai deux heures pour les émettre à d'autres endroits dans la ville".
Parmi les scénarios d'attaques jugés plausibles, celui d'une organisation ou d'une personne malveillante, qui collecterait les données Bluetooth de personnes qui vont se faire tester près d'un hôpital. Ces données seraient ensuite diffusées devant une grande entreprise ou une organisation internationale: Résultat: de faux cas, des tests et des isolements d'employés inutiles. Une action suffisante pour perturber des activités sensibles.
Autre exemple cité par les experts: un étudiant paresseux mais ingénieux qui parviendrait à faire croire que sa classe est malade et réussirait ainsi à faire annuler un examen.
Failles connues
Contactées, l'EPFL et la Confédération indiquent dans une même réponse que la problématique est connue et que les failles ont été transmises au Centre Suisse de Cybersécurité. Un rapport est attendu à la fin des test en cours. De plus, les autorités affirment miser sur la dissuasion pénale. L'auteur d'une telle action malveillante risque jusqu'à cinq ans de prison.
Pourtant, la fiabilité des tests actuellement en cours est remise en question par Paul-Olivier Dehaye: "ces tests de sécurité sont loin d'être parfaits parce qu'il s'agit de tester un écosystème relativement fermé sur lequel on a relativement peu de transparence sur le code, sur le système en lui-même. (…) Il reste beaucoup de zones d'ombre mais on avance au niveau législatif".
Après le feu vert du Conseil des Etats jeudi dernier et du Conseil national lundi, le Préposé fédéral à la protection des données a considéré vendredi que la sécurité technique de l'application était fiable et respectait les normes en matière de protection des données. Mais avec la découverte de ces nouvelles vulnérabilités, Paul-Olivier Dehaye et d'autres experts avec lui espèrent que le risque de cyberattaques sera sérieusement évalué par les autorités et les scientifiques, quitte à retarder le lancement de l'application voire même à remettre en question le projet.
Gabriel de Weck