Des failles de sécurité dans le protocole de tracing de Google

L’API conjointe développée par Google et Apple pour faciliter le déploiement des apps de tracing numérique Covid-19 — dont SwissCovid — n’est finalement pas aussi sécurisée qu’affirmé par ses créateurs, en tout cas en ce qui concerne la version Android. C’est la découverte réalisée par des chercheurs en sécurité informatique qui ont alerté Google en février, explique The Markup.

Pourquoi c’est problématique. Le protocole développé devait fournir une architecture décentralisée pour éviter la transmission directe des données de contact, relatives aux terminaux des personnes croisées. Mais ces données personnelles sont consignées dans un journal système. Or, des applications tierces préinstallées sur le mobile pourraient théoriquement lire ces informations puis les transmettre à ces serveurs distants, par exemple via un rapport de crash. Ces spécialistes n’ont pas découvert d’argument en faveur d’une fuite de données avérée depuis ces apps, mais déplorent notamment l’attitude de Google, qui selon eux n’a pas pris suffisamment le problème au sérieux.