1/ Parlons des choses intéressantes. #StopCovid a un important problème de sécurité. Ce problème réside dans le protocole ROBERT créé et choisi par la France.
Il est connu depuis des semaines, mais YOLO on a foncé la tête baissée par idéologie.
Il est connu depuis des semaines, mais YOLO on a foncé la tête baissée par idéologie.
2/ Un protocole c'est une spécification de plusieurs règles pour un type de communication particulier. Ici on a 2 maisons: centralisé vs décentralisé
Pour schématiser, la France a choisi centralisé, le reste du monde décentralisé.
Pour schématiser, la France a choisi centralisé, le reste du monde décentralisé.
3/ Première conséquence: La solution de la France ne sera pas interopérable. #StopCovid ne fonctionnera pas en dehors de la France. Dans le cadre d'une pandémie mondiale et d'un monde qui se déconfine, le système devient caduque.
Mais encore ca n'est pas le pire
Mais encore ca n'est pas le pire
4/ Le 22 Avril dernier , DP^3T, le protocole concurrent de la France, a fait une analyse de sécurité du protocole ROBERT github.com/DP-3T/document…
5/ L'avant dernier paragraphe est pour moi le plus intéressant: Faking Risk 
6/ Rappelons la procédure. Vous êtes chez le médecin, il vous rend les résultats de votre test de dépistage Covid19. Ces résultats comportent un code de 36 chiffres. Il vous faut rentrer ce code dans l'app afin de déclarer votre status.
7/ Lorsque vous rentrez ce code et que vous êtes positif, tous les identifiants bluetooth temporaires des personnes que vous avez croisées seront envoyés sur un serveur central.
Le problème est que le serveur ne peut que vous croire, il ne peut pas vérifier la donnée.
Le problème est que le serveur ne peut que vous croire, il ne peut pas vérifier la donnée.
8/ Ainsi, si un attaquant possède un code, il pourra injecter les identifiants bluetooth temporaires de sa cible dans les contacts qu'il est censé avoir croisé.
Sa cible recevra une notification sur son tel pour lui dire qu'il a croisé un covid+, ce qui est faux
Sa cible recevra une notification sur son tel pour lui dire qu'il a croisé un covid+, ce qui est faux
9/ Ceci est un problème de design dans le protocole. Il ne peut pas être réparé.
10/ Pour lutter contre ça, l'INRIA a ajouté une durée d'expiration d'1h au code. Pariant sur le fait que la plupart des gens rentreront le code dans le bureau du médecin.
C'est une contre mesure mais ca ne suffit pas
C'est une contre mesure mais ca ne suffit pas
11/ Le médecin ne va pas obliger le patient a rentrer le code, ca n'est pas son job et il n'en a pas l'autorité.
Les gens ne vont pas tendre leur tel au médecin.
Pour un attaquant déterminé, 1h c'est largement suffisant pour injecter des contacts
Les gens ne vont pas tendre leur tel au médecin.
Pour un attaquant déterminé, 1h c'est largement suffisant pour injecter des contacts
12/ Cette limitation est connu depuis des semaines et inquiète beaucoup d'expert. Mais YOLO on a quand même foncé.
13/ Pour ajouter un peu de nuance, les protocoles décentralisés ne sont pas parfait non plus et possédent des limitations. Mais pas celle là 😏
