Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Baptiste Robert trouve (encore) une faille dans l'application de « contact tracing » indienne

Nommée Aarogya Setu, elle utilise le Bluetooth mais également le GPS. Elle propose de savoir, dans un rayon de 500 mètres à 10 kilomètres, combien de personnes ont été infectées, sont malades, ont été considérées comme « cas contact », ou encore combien l'utilisent. 

Sauf que Baptiste Robert (@fs0c131y), qui a précédemment trouvé des failles de sécurité (entre autres) dans la messagerie sécurisée gouvernementale Tchap et le système d'identité biométrique indien Adhaar a découvert qu'il pouvait modifier la géolocalisation, permettant d'obtenir ces statistiques n'importe où dans tout le pays.

Il a ainsi découvert que dans un rayon de 500 mètres autour du Parlement indien on comptait 1 personne infectée, 2 malades et 17 Bluetooth positifs, pour 2 338 utilisateurs... Il précise à Wired qu'en utilisant la triangulation et en déplaçant le curseur de géolocalisation, il serait possible d'identifier où résideraient ces gens, dans un rayon bien plus étroit que les 500 mètres initiaux, et potentiellement jusqu'à l'échelle d'une maison.

58 commentaires
Avatar de Faith INpactien
Avatar de FaithFaith- 07/05/20 à 09:06:11

Wouah la faille qui... ne sert strictement à rien...
 

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 07/05/20 à 09:27:34

Faith a écrit :

Wouah la faille qui... ne sert strictement à rien...

Faut lire le dernier paragraphe… Ce n'est pas une grosse faille de sécurité mais elle l'est dans le cadre du respect de la vie privée…

Avatar de Myrddinlefou Abonné
Avatar de MyrddinlefouMyrddinlefou- 07/05/20 à 09:28:20

Si, tu peux connaitre ou sont les personnes malades, donc dans quelle familles, sans en avoir le droit. C’est très problématique pour une appli de tracing…

Avatar de Faith INpactien
Avatar de FaithFaith- 07/05/20 à 09:40:26

bilbonsacquet a écrit :

Faut lire le dernier paragraphe… Ce n'est pas une grosse faille de sécurité mais elle l'est dans le cadre du respect de la vie privée…

J'ai déjà lu... et donc concrêtement, ça sert à quoi ?
 

Avatar de bad10 Abonné
Avatar de bad10bad10- 07/05/20 à 09:44:13

Si tu es sensé savoir que tu as croisé un malade tu n'es pas sensé savoir qui et encore moins où il habite,
ce que permet cette faille.

Avatar de Hugues1337 Abonné
Avatar de Hugues1337Hugues1337- 07/05/20 à 09:45:12

Ouha le commentaire qui... sert strictement à rien...

Avatar de Faith INpactien
Avatar de FaithFaith- 07/05/20 à 09:58:47

bad10 a écrit :

Si tu es sensé savoir que tu as croisé un malade tu n'es pas sensé savoir qui et encore moins où il habite,
ce que permet cette faille.

Ben tu ne peux pas... tu peux éventuellement localiser à plusieurs centaines de mètres près qu'il y a un ou plusieurs malades.
Il a joué avec les paramètres envoyés au logiciel... super...

Je remarque déjà un point. L'important a été fait: impossible de descendre en dessous de 500m. Ce qui est la protection essentielle.
L'auteur affirme que la triangulation permet de descendre au mètre près... mais n'en fait pas la preuve.

D'ailleurs si cette faille était réellement exploitable, il aurait pu dire qui est malade au parlement...

Et puis allez, prenons le pire cas possible: il est donc possible de connaitre l'emplacement exact de toutes les personnes malades du pays... and so what ?

Avatar de Zone démilitarisée Abonné
Avatar de Zone démilitariséeZone démilitarisée- 07/05/20 à 10:21:31

Faith a écrit :

L'auteur affirme que la triangulation permet de descendre au mètre près... mais n'en fait pas la preuve.

Si tu peux modifier la position de l'appareil, tu peux faire de la triangulation.

Faith a écrit :

il est donc possible de connaitre l'emplacement exact de toutes les personnes malades du pays... and so what ?

Et donc ça contourne le principe initial du dispositif.

Avatar de Faith INpactien
Avatar de FaithFaith- 07/05/20 à 10:41:04

Zone démilitarisée a écrit :

Si tu peux modifier la position de l'appareil, tu peux faire de la triangulation.

En vrai, trianguler n'est pas un mot magique comme dans les séries policières.
Trianguler c'est multiplier les incertitudes (et encore, je crois que la croissance de l'incertitude est exponentielle).
De plus trianguler en ayant comme seule information un unique nombre par zone de 785000m², c'est un boulot titanesque, voir impossible.

Et donc ça contourne le principe initial du dispositif.

Oui, et ?
Désolé, mais moi quand un article me parle de "fiasco total", je m'attends à une situation pire avec que sans...
 

Avatar de stratic Abonné
Avatar de straticstratic- 07/05/20 à 10:46:12

Faith a écrit :

Je remarque déjà un point. L'important a été fait: impossible de descendre en dessous de 500m. Ce qui est la protection essentielle.
L'auteur affirme que la triangulation permet de descendre au mètre près... mais n'en fait pas la preuve.

Il suffit de répéter les requêtes sur plusieurs localisations GPS différentes dans la zone, et ses alentours. Par recoupement, la barrière des 500m va aussitôt tomber.

Si on prend l'exemple donné où il n'y a qu'un seul cas dans la zone, c'est même très simple. Retrouver la géolocalisation exacte, c'est un peu comme faire une partie Mastermind. En fonction des réponses, par recoupement, on est certain de pouvoir retrouver la localisation exacte par élimination des "faux positifs". Toute requête renvoyant un négatif sur zone en intersection exclu les points contenus dans l'intersection. Au final, si on fait suffisamment de requêtes, la précision obtenue sera celle de la localisation GPS initiale.

Le principe peut être étendu à des cas multiples dans une même zone. C'est un plus fastidieux, mais ça reste possible, tout le temps que la répartition des cas n'est pas parfaitement uniforme.

Édité par stratic le 07/05/2020 à 10:49
Il n'est plus possible de commenter cette actualité.
Page 1 / 6