L’étude de Guardsquare (spécialisé dans la protection des applications pour smartphone) est sans appel : la majorité de ces applications ne sont pas suffisamment protégées contre la rétro-ingénierie et l’exploitation malveillante.

Appelée « Reverse engineering » par les hackers, la rétro-ingénierie consiste à étudier un logiciel ou un équipement pour comprendre comment il a été développé, son fonctionnement et ses faiblesses. Cette méthode est notamment employée par des pirates pour contourner des systèmes de sécurité ou créer des clones malveillants.

Dans le cas présent, les développeurs de ces applications n’ont pas vraiment renforcé la sécurité. Moins de la moitié (41 %) est protégée contre « l’obfuscation de code ». Ce processus consiste à rendre un programme inintelligible ou du moins le plus difficilement compréhensible en cas d’analyse binaire.

Un tiers seulement intègre un chiffrement et seuls 18 % incluent la détection d’un émulateur (technique utilisée pour simuler un système d’exploitation par exemple et tester ensuite l’application pour repérer ses vulnérabilités).

Les révélations sur les faiblesses de ces applications se sont multipliées ces dernières semaines. En mai, Amnesty International avait identifié des failles de sécurité majeures dans une application obligatoire d’alerte d’exposition aux virus au Qatar. Le gouvernement avait rapidement publié une mise à jour avec de nouvelles fonctionnalités de sécurité.

Le même mois, le hacker français Baptiste Robert avait découvert une faille dans l’application de contact-tracing indienne nommée Aarogya Setu. Dans le principe, elle permettait de savoir si on avait croisé un malade, mais elle permettait aussi à l’État de savoir qui il est et où il habite.

La chasse aux failles

Les développeurs de l’application australienne ont également fait preuve de légèreté concernant la protection des données et du code lui-même. Même la Suisse est épinglée pour son application SwissCovid dont le niveau de sécurité et de transparence inquiète des spécialistes ainsi qu’une équipe du Laboratoire de sécurité et de cryptographie (Lasec) de l’École polytechnique fédérale de Lausanne.

Selon les experts et les chercheurs en cybersécurité, les données provenant des applications de recherche de contacts pourraient constituer une cible particulièrement intéressante pour toute une série de groupes.

Des hacktivistes pourraient supprimer ces applications des App Stores pour tenter de se faire connaître. Des cybercriminels pourraient récupérer des informations personnelles qui seraient ensuite revendues. Enfin, des dictatures et même des États démocratiques pourraient s’en servir comme outil de surveillance.

Selon une étude d’Amnesty International, les applications de contact-tracing de la Norvège, du Bahreïn et du Koweït sont les plus dangereuses, car elles suivent en temps réel ou presque la localisation de leurs utilisateurs.

Pour limiter ces risques, il est indispensable de renforcer la sécurité et d’appliquer le principe de « Privacy by Design ». Cette approche consiste à adopter dès la conception d’un logiciel et par défaut, des mesures organisationnelles et techniques appropriées pour garantir la protection de la vie privée et des libertés fondamentales.

Comme de nombreux principes présents dans le Règlement général sur la protection des données personnelles (RGPD), le principe de « Privacy by Design » n’est pas nouveau. Certains éléments étaient déjà présents au sein de la Directive de 1995 qui précisait que les mesures de protection des données doivent s’appliquer tant au moment de la conception qu’à celui de la mise en œuvre du traitement.

Mais il ne semble pas encore appliqué par tout le monde. C’est la raison pour laquelle la CNIL a publié un « Guide RGPD du développeur ».

La sécurité de ce type d’application sensible ne doit pas être négligée. Elle doit être testée par des experts ou des hackers afin de repérer d’éventuelles faiblesses dans sa conception.

La France est l’un des rares pays connus pour avoir effectué des tests de piratage approfondis de StopCovid lancée le 2 juin dernier. Deux concours de « bug bounty » ont été organisés, l’un avant sa sortie et le second après son lancement. À la clé, une récompense pouvant atteindre 2000 euros.

Restent les questions légitimes vis-à-vis de la gouvernance des serveurs de ces applications : qui fait tourner le serveur où les identifiants sont divulgués ? Qui est en charge de la supervision d’un tel système ? Comme le recommande à nouveau le Chaos Computer Club (l’une des organisations de hackers les plus influentes en Europe), le stockage des données de ces dispositifs doit être décentralisé par nature pour garantir le respect de la vie privée.