Le Qatar avait un gros défaut dans son application de recherche de contacts
Selon le laboratoire de sécurité d’Amnesty International, une faille de sécurité dans l’application obligatoire de recherche des contacts avec les coronavirus du Qatar aurait pu entraîner la fuite des données personnelles de centaines de milliers de personnes, y compris les numéros d’identification, l’emplacement et les informations médicales.
Jeudi, après avoir alerté les autorités qatariennes, Amnesty a corrigé la faille de l’application. L’incident souligne les risques des applications de suivi des contacts. Les militants de la protection de la vie privée craignent que les applications ne soient compromises par des attaquants extérieurs ou utilisées par les gouvernements pour collecter des données personnelles sans rapport avec la pandémie.
Claudio Guarnieri, technologue principal à Amnesty International et chef de son laboratoire de sécurité, a déclaré à BuzzFeed News que son organisation avait trouvé la faille qui aurait pu compromettre les données des personnes.
« L’application a téléchargé le code QR depuis le serveur en effectuant une demande particulière en fournissant l’identifiant national que l’utilisateur a fourni lors de l’inscription », a-t-il déclaré. « Cependant, quiconque possédant le savoir-faire technique suffisant pour analyser le fonctionnement interne des applications aurait pu reconstruire le protocole réseau et remarquer que, parce que le serveur ne s’attendait qu’à un numéro d’identification pour renvoyer le code QR, on pourrait le demander pour tout autre ID à la place. «
Un pirate aurait pu utiliser une attaque par force brute pour générer toutes les combinaisons possibles des numéros d’identification, en récupérant leurs données.
Pour résoudre le problème, la version mise à jour de l’application a des exigences d’authentification plus strictes.
Le Qatar a rejoint un groupe de plusieurs dizaines de pays qui ont mis en place des applications de recherche des contacts pour tout ou partie de leur population; c’est l’un des rares pays à avoir rendu le téléchargement de l’application obligatoire. L’application, nommée Ehteraz – qui signifie «précaution» – peut également accéder aux photos et vidéos sur le téléphone de l’utilisateur.
Les autorités qatariennes ont déclaré que les données personnelles sur l’application seraient supprimées deux mois après la collecte et que il n’y a aucune raison de s’alarmer sur la vie privée. L’application envoie les informations il rassemble les utilisateurs dans une base de données centrale et suit les emplacements visités par les personnes infectées par le coronavirus.
Commentaires récents