Covid-19 : L'application de pistage du Qatar a exposé les données d'un million de personnes

by
https://www.usine-digitale.fr/mediatheque/6/7/1/000873176_homePageUne/telephones.jpg
Covid-19 : L'application de pistage du Qatar a exposé les données d'un million de personnes© Flickr-Kamagogo

Une faille de sécurité dans l'application de pistage numérique du Qatar a exposé les données d'un million de personnes, alerte l'ONG Amnesty International le 26 mai 2020.

La faille a été corrigée

Cette faille, désormais corrigée par les autorités, rendait les informations telles que les noms, des numéros de carte d'identité, des informations médicales et des données de géolocalisation accessibles alors qu'elles n'auraient pas dû l'être. Amnesty International a découvert la faille le 21 mai et affirme que les autorités l'ont corrigée le lendemain. La vulnérabilité concernait les QR codes qui incluaient des informations sensibles. La mise à jour a supprimé certaines de ces données et a ajouté une nouvelle couche d'authentification pour éviter les fraudes.

L'application de contact tracing, appelée Ehteraz (précaution en arabe), utilise le GPS et le Bluetooth pour suivre les personnes testées positives au Covid-19. La semaine dernière, elle a été rendue obligatoire par les autorités pour tous les citoyens et résidents du Qatar, qui compte le deuxième plus grand nombre de cas confirmés dans le monde arabe (48 000 cas environ). Selon Amnesty, les personnes qui refusent d'utiliser l'application risquent jusqu'à trois ans de prison et une amende de 200 000 QR (environ 50 000 euros).

Un incident pouvant décourager son utilisation

"Cet incident devrait servir d'avertissement aux gouvernements du monde entier qui se précipitent sur les applications de contact tracing qui sont trop souvent mal conçues et manquent de garanties en matière de respect de la vie privée. Si la technologie doit jouer un rôle efficace dans la lutte contre le virus, les personnes doivent avoir confiance dans le fait que ces applications protégeront leur vie privée et les autres droits de l'Homme", a déclaré Claudio Guarnieri, responsable d'Amnesty’s Security Lab.

Pour que les applications de contact tracing fonctionnent correctement, il faut qu'elles soient largement adoptées par la population. Une étude publiée dans la revue scientifique Science montre que 60 % des personnes doivent utiliser une application pour qu'elle soit réellement efficace pour détecter les chaînes de contamination. Des incidents de sécurité, comme celui d'Ehteraz, pourrait décourager les personnes à utiliser ce type d'outil dont l'efficacité a fait ses preuves dans certains pays asiatiques comme à Taïwan.

Visuels, bug bounty, vote…Derrière ligne droite pour l'application StopCovidL'application de pistage StopCovid sera disponible à partir de ce week-end si les parlementaires l'approuvent. Son objectif est de détecter les chaînes de transmission du Covid-19 grâce à l'utilisation du Bluetooth, aspect que la Cnil a souligné à maintes reprises pour finalement donner son feu vert à son déploiement. Un audit de type bug bounty doit encore avoir lieu pour sécuriser l'application.Alice Vitard, 26 May 2020Covid-19 : Pas de pistage sans protection de la vie privée, préviennent des chercheursDes chercheurs de 25 pays ont co-signé une lettre dans laquelle ils demandent aux gouvernements de ne pas abuser des technologies de traçage numérique pour endiguer l'épidémie de Covid-19. Ils ne remettent pas en cause l'utilité de ces applications mais leur application concrète qui pourrait déboucher sur une surveillance de masse incompatible avec le respect de la vie privée.  Alice Vitard, 20 Apr 2020