StopCovid : un hacker a trouvé "quelques problèmes" mais "rien de grave pour l'instant"

, modifié à
  • A
  • A
L'application StopCovid est éprouvée par des "hackers éthiques" pour détecter des failles et les signaler au gouvernement. 1:05
L'application StopCovid est éprouvée par des "hackers éthiques" pour détecter des failles et les signaler au gouvernement. © Clément Lesaffre / Europe 1
Partagez sur :
Suspendue au vote du Parlement, StopCovid, l'application de traçage des contacts avec des malades du coronavirus, pourrait être déployée ce week-end. En attendant, le gouvernement la fait tester par des hackers pour détecter des failles passées sous le radar. L'un deux, Baptiste Robert, fait part à Europe 1 de ses premières trouvailles.
INTERVIEW

Pourra-t-on utiliser StopCovid ? Le sort de cette application développée par le gouvernement, qui doit permettre, sur la base du volontariat, de tracer les contacts avec des malades du coronavirus par le biais du téléphone, est suspendue au vote du Parlement. L'Assemblée nationale a donné son aval jeudi soir (338 voix pour, 215 contre) et si le Sénat l'imite dans la foulée, elle sera déployée dès ce week-end. Parmi les nombreux débats que suscite StopCovid, il y a sa sécurité. Pour l'éprouver, le gouvernement a soumis l'application à une "chasse au trésor" pour "hackers éthiques". Parmi eux, Baptiste Robert, chercheur en cybersécurité, l'a testée toute la journée. "J'ai trouvé plusieurs problèmes mais rien de grave", raconte-t-il à Europe 1.

Une application "de bonne qualité"…

Baptiste Robert estime que les résultats de ses premières investigations sont "nuancés". "Lunabee Studio, l'entreprise qui a développé l'application pour le gouvernement, a plutôt fait du bon travail. J'en ai inspecté des centaines, voire des milliers et on peut dire que le code est de bonne qualité", reconnaît ce spécialiste, très actif sur Twitter sous le pseudonyme de "fs0c131y", emprunté à la série Mr. Robot, qui a pour personnage central un hacker. Selon lui, la force de StopCovid réside dans sa simplicité. "Elle n'offre pas beaucoup de fonctionnalités à l'utilisateur. Il n'y a qu'un endroit où entrer du texte et rien qui la relie à l'intégrité du téléphone."

"Pour un hacker, c'est un problème car cela implique que la surface d'attaque disponible est relativement faible. Donc un attaquant ne va probablement pas réussir à pirater l'intégralité du téléphone de l'utilisateur en passant par StopCovid", estime Baptiste Robert. "Ça ne veut pas dire qu'il n'y a pas de problèmes. C'est tout à fait normal pour une application tout juste lancée, des failles il y en partout et on oublie toujours de développer certaines choses. D'autant plus que le délai de test, à peine quelques jours, est très court", souligne-t-il.

… mais un problème de confidentialité détecté

De son côté, en moins d'une journée, Baptiste Robert a mis au jour un premier problème de confidentialité. En hackant le téléphone d'un utilisateur, "je peux déduire à travers StopCovid son comportement au sein l'application, autrement dit savoir s'il a autorisé l'accès au bluetooth, s'il a accepté les conditions d'utilisation et s'il la fait tourner au premier plan ou en veille". "Rien de grave pour l'instant", assure-t-il, "mais c'est ce genre de problèmes qui doivent être remontés rapidement pour qu'ils soient traités avant le déploiement à grande échelle". Bilan : "tout n'est pas fantastique, tout n'est pas horrible, il faut rester nuancé. De toute façon, la sécurité maximale, ça n'existe pas", conclut le hacker.

Invité d'Europe 1 mercredi matin, le secrétaire d'État au Numérique Cédric O a reconnu qu'"aucun système n'est infaillible" mais assure que les responsables du projet "ont pris toute les garanties possibles". "La seule chose qui est enregistrée dans votre téléphone, c'est votre historique de rencontre, les téléphones, sous forme de codes, que vous avez croisés. Et personne n'a accès à cette liste, ni vous, ni l'État, ni personne", explique-t-il. Ainsi, en cas de vol de son téléphone, par exemple, "il ne se passe rien, puisque vous n'avez pas accès à la liste des personnes que vous avez croisées via le téléphone".