Modifié

Un test a permis de détecter des failles dans le certificat Covid suisse

Le certificat Covid permet notamment l'accès aux clubs et discothèques. [Keystone - Valentin Flauraud]
Un test a permis de détecter des failles dans le certificat Covid suisse / Le Journal horaire / 25 sec. / le 22 juillet 2021
Un test public de sécurité mené sur le certificat Covid a révélé 136 failles réelles ou présumées. La Confédération juge cependant ce nombre normal, compte-tenu de la complexité du projet.

Le Centre national pour la cybersécurité (NCSC) a publié jeudi sur son site un bilan de ce test, en cours depuis fin mai. Il est ouvert aux professionnels et à toutes les personnes intéressées, qui ont eu accès au code source du certificat.

Le NCSC diffuse une liste de 136 défauts identifiés durant l'exercice. Il précise qu'un certain nombre de lacunes "critiques", toujours en cours d'analyse, ne sont pas publiées pour l'instant pour des raisons de sécurité. Un rapport sera en outre dévoilé prochainement par l’Institut national de test pour la cybersécurité (NTC).

Des failles liées aux exigences des autorités

Selon la liste publiée, une quarantaine de failles ont déjà été réglées. Une solution est en cours d'élaborations pour une cinquantaine d'autres problèmes.

Certaines failles sont par ailleurs reconnues mais seront laissées telles quelles, car elles sont dues à des exigences expresses des autorités suisses ou européennes, souligne le NCSC. Enfin, un certain nombre de points soulevés ne sont pas des bugs mais le résultat d'une mauvaise appréciation de la personne à l'origine du signalement.

Divers systèmes et services auscultés

Le test a notamment visé les systèmes générant le certificat (avec les signatures cryptographiques), les services permettant la vérification décentralisée hors ligne et la détection des certificats révoqués.

Il a aussi concerné les services de communication permettant de vérifier l'authenticité du document (notamment dans le cadre du certificat européen), ainsi que les applications mobiles (aussi bien celle permettant à l'usager de sauvegarder son certificat sur son téléphone portable que celle prévue pour la vérification de l'authenticité).

>> Interview de Stéphane Koch, expert en stratégie numérique et sécurité de l'information, dans Forum :

Des failles de sécurité détectées dans des certificats covid: interview de Stéphane Koch (vidéo)
Des failles de sécurité détectées dans des certificats covid: interview de Stéphane Koch (vidéo) / Forum / 6 min. / le 23 juillet 2021

ats/oang

Publié Modifié

Un sésame pour danser ou voyager

En Suisse, les certificats Covid-19 sont délivrés depuis le 7 juin. Ils certifient une vaccination complète, une guérison ou un test négatif.

Ils sont remis soit comme document papier, soit sous forme électronique (PDF avec code QR).

Le document contient le nom, le prénom et la date de naissance du titulaire.

Le certificat est requis pour participer à des réunions de plus de 1000 personnes ou pour se rendre dans des clubs, discothèques ou salles de danse.

Il est aussi nécessaire pour voyager.