Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
StopCovid : les recommandations de l’ANSSICrédits : nito100/iStock

Après la CNIL sur le volet RGPD, l’ANSSI a fait connaître ses recommandations sur les spécifications techniques de l’application de traçage. 

L’autorité en charge de la cybersécurité du projet StopCovid recommande : 

  • « L’utilisation d’un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central, les informations pseudonymisées envoyées par le téléphone
  • La mise en œuvre sur l'ensemble des composants du dispositif de mesures pour concevoir une architecture sécurisée et permettre le bon fonctionnement du traitement des informations tel qu'envisagé »
  • L'application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS »
  • L'utilisation de mécanismes d'audit de l'imputabilité et de la traçabilité des actions menées sur le système »
  • La réalisation d'audits et de contrôles de sécurité réalisés par l'ANSSI tout au long de la conception de l'application », en y ajoutant un bug bounty 
  • La création d'un dispositif de gestion des vulnérabilités pour maintenir un bon niveau de sécurité de l'application et du serveur central durant toute la durée d'utilisation de l'application »
  • La mise en place d'un dispositif de détection des cyberattaques pour réagir au plus tôt en cas de tentatives de compromission du système ».

L’ANSSI recommande également aux utilisateurs de régulièrement mettre à jour leur téléphone pour assurer une meilleure sécurité du protocole Bluetooth utilisé. Elle suggère aussi l'algorithme de chiffrement SKINNY-64/192. « Bien que récent, cet algorithme a été largement étudié et son analyse n'a révélé aucune faiblesse en termes de sécurité. Il offre de plus, d'excellentes performances ».

19 commentaires
Avatar de Buffort Abonné
Avatar de BuffortBuffort- 28/04/20 à 07:34:34

"L’ANSSI recommande également aux utilisateurs de régulièrement mettre à jour leur téléphone pour assurer une meilleure sécurité du protocole Bluetooth utilisé."
C'est pas gagné ... Encore faut-il que les constructeurs assurent un suivi de leurs produits, or on voit bien que ce n'est pas le cas, sauf peut-être sur les gros modèles. Et la fragmentation d'Android est aussi un frein à ce genre d'initiative.
Mon Honor 8 n'a pas été mis à jour depuis plus d'un an et demi (depuis le passage à Android 8 ...), tandis que le Blackberry Key2 de ma compagne est régulièrement mis à jour depuis sa sortie.
On va donc nous demander de garder le bluetooth activé dans la rue en permanence, sur un parc de téléphone dont le prix va de 50 à 1500 €, avec des versions d'android plus dispersées que des oeufs de paques dans un jardin ... Certains doivent s'en réjouir :https://www.futura-sciences.com/tech/actualites/smartphone-android-grosse-faille...

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 28/04/20 à 08:24:57

Comme par hasard l'ANSSI recommande un protocole et un chiffrement différents de ceux qui seront implémentés nativement par Google/Apple.

Si qqn voulait absolument forcer l'utilisation de l'appli Orange, on n'aurait pas fait mieux.

Avatar de Jetto INpactien
Avatar de JettoJetto- 28/04/20 à 08:47:27

C'est bizarre, on sait échanger des crypto actifs de façon anonyme et sécurisé comme avec Monero et ZCash, mais on ne saurait pas faire de même pour du contact traking.

Il y a manifestement une volonté d'échouer.

Avatar de Jeanprofite INpactien
Avatar de JeanprofiteJeanprofite- 28/04/20 à 09:25:34

Je vois plutôt comme une bonne chose de ne pas faire le choix que font les GAFAM, néanmoins ce serait sans doute, un encore plus mauvais de faire celui d'Orange.

Connais-tu un lien qui indique que c'est la solution retenu par Orange ?

Avatar de DayWalker Abonné
Avatar de DayWalkerDayWalker- 28/04/20 à 09:41:26

"L’ANSSI recommande également aux utilisateurs de régulièrement mettre à jour leur téléphone pour assurer une meilleure sécurité du protocole Bluetooth utilisé."

C'est du bon sens, mais si ton smartphone a plus de 2 ans, obtenir des mises à jour, c'est mort pour la très grande majorité des smartphones.

Édité par DayWalker le 28/04/2020 à 09:42
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 28/04/20 à 09:43:11

Le développement est piloté par l'Inria...
https://www.inria.fr/fr/stopcovid

... et l'Inria a spécifié le protocole ROBERT
https://github.com/ROBERT-proximity-tracing/documents

Ca ne laisse pas beaucoup de choix à l'implémentation:
https://www.numerama.com/tech/619446-stopcovid-vs-apple-pourquoi-la-france-sest-...

Avatar de js2082 INpactien
Avatar de js2082js2082- 28/04/20 à 10:06:56

DayWalker a écrit :

"L’ANSSI recommande également aux utilisateurs de régulièrement mettre à jour leur téléphone pour assurer une meilleure sécurité du protocole Bluetooth utilisé."

C'est du bon sens, mais si ton smartphone a plus de 2 ans, obtenir des mises à jour, c'est mort pour la très grande majorité des smartphones.

J'avais cru comprendre que le bluetooth était une porte d'entrée majeure pour le piratage sur smartphone.

Favoriser son utilisation n'est sans doute pas la meilleure manière de faire

Édité par js2082 le 28/04/2020 à 10:08
Avatar de carbier INpactien
Avatar de carbiercarbier- 28/04/20 à 10:17:53

js2082 a écrit :

J'avais cru comprendre que le bluetooth était une porte d'entrée majeure pour le piratage sur smartphone.

Favoriser son utilisation n'est sans doute pas la meilleure manière de faire

Vite supprimons les casques nomades et autres montres connectées.

Avatar de Jeanprofite INpactien
Avatar de JeanprofiteJeanprofite- 28/04/20 à 10:21:39

Merci pour les liens, cependant je n'y ai pas lu la moindre fois «SKINNY-64/192».

«cet algorithme a été largement étudié et son analyse n'a révélé aucune faiblesse en termes de sécurité. Il offre de plus, d'excellentes performances »

Est-ce une création d'Orange ?

Avatar de hwti Abonné
Avatar de hwtihwti- 28/04/20 à 11:27:00

L'application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS

Sans stocker l'adresse IP, qui est une donnée personnelle, ça risque d'être limité.
Ou alors elle sera mémorisée, et il faudra faire confiance au service sur le fait qu'elle ne puisse pas être associée à posteriori aux données transmises...

Il n'est plus possible de commenter cette actualité.
Page 1 / 2