Swisscovid : les tests de l’app de traçage suisse révèlent des failles majeures
A l’instar de nombreux pays, la Suisse va proposer dans les semaines à venir une application de traçage basée sur le volontariat afin de récupérer des données permettant d’étudier la propagation et l’évolution du COVID-19, application qui est d’ores et déjà entrée en phase de test. Mais des experts indépendants préviennent les utilisateurs comme le pays : une faille majeure aurait ainsi été trouvée directement dans les systèmes d’Apple et de Google à la base de Swisscovid. Ils annoncent que les risques de cyberattaques sont jugés comme étant bien trop élevés.
Ce sont Serge Vaudenay et Martin Vuagnoux, respectivement chercheur à l’EPFL (Ecole polytechnique fédérale de Lausanne) et employé de Base23 à Genève, qui ont fait part de leur découverte, ajoutant également que « les données diffusées par Bluetooth peuvent être modifiées avec malveillance. Cela peut faciliter des attaques par la diffusion de faux cas positifs ». Il serait ainsi possible, même à plus de dix mètres, d’accéder à ces données Bluetooth, et de les modifier. Selon les scientifiques, les assaillants pourraient par exemple viser les employés d’une entreprise donnée et les déclarer comme positifs au COVID-19, forçant ainsi cette dernière à une grosse baisse d’activité, voire à un arrêt. Les organismes en charge du développement ont été contactés à ce propos, et devraient publier un rapport détaillé à la fin de la phase de test.
En même temps, même si cette faille est effectivement majeure, il en reste pas moins qu’il faut quand même un minimum de connaissance afin d’intercepter un flux bluetooth, le modifier et le rebalancer afin de tromper le monde et de faire croire qu’il y a un foyer qq part… c’est pas à la portée de tous non plus….
1-Flo, les Hacker malveillants qui voudraient faire chuter une entreprise ont justement ces connaissances-là 2-Je conseille à tous de lire l’étude faite sur l’app française par l’UFC Que Choisir (accès gratuit). Rien d’aussi grave mais quand même pas mal de choses déplaisantes.
Oui je suis d’accord mais y en a pas non plus 50 dans chaque coins de rues de ces hackers là….
Il y en a pas 50, mais en même temps il en suffit juste d’un seul pour récupérer toutes les données et les publié en ligne ou faire de la faille un logiciel utilisable par bien plus de monde
On aurait vraiment du utiliser cette API
On est dans du pur fantasme, i faut faire la différence entre ce qui serait possible en théorie pure et ce qui est probable dans la réalité, dire que tel ou tel système possède des failles c’est aussi un moyen de faire parler de soi. Mais in fine ils ne font que le dire, jamais ils ne le prouve !!!