RSF Suisse a fait examiner l’application Swiss Covid (photo Keystone-ATS) par Stéphane Koch, membre de son comité et expert en stratégie numérique et en sécurité de l’information. Notre organisation ne se prononce ni sur l’efficacité potentielle de cette application ni sur l’opportunité de la télécharger ou non, cette décision relevant de l’éthique et de la liberté de chacun. Les recommandations qui suivent n’ont pour finalité que d’évaluer les risques que l’utilisation de la technologie Bluetooth – sur laquelle repose l’application Swiss Covid – pourrait créer pour certains aspects spécifiques de la pratique du journalisme, en particulier la protection des sources.
L’application Swiss Covid s’appuie sur le protocole Bluetooth, et non le contraire
- La technologie Bluetooth fait partie intégrante des différents systèmes d’exploitation présents sur les téléphones mobiles classiques et les Smartphones, cette technologie est aussi présente dans les véhicules, les ordinateurs, les téléviseurs intelligents. Bluetooth se sépare en trois couches principales : « la couche radio » (transmission des données par voie hertzienne), la « bande de base » (informations matérielles et adresse physique du mobile) et « l’interface de contrôle de l’hôte » (utilisée pour la couche applicative qui accède aux données du mobile).
- La technologie Bluetooth est indissociable du système d’exploitation du mobile (Android, Apple, Windows, Symbian, LineageOS, etc). Il n’est pas possible de dissocier les données qui transitent au moyen de Bluetooth d’une forme de traitement des dites données par le système d’exploitation de son smartphone. À l’heure actuelle ce « traitement des données » ne peut pas être considéré comme transparent. La fonction centrale de « Traçage de proximité » ou GAEN (Google-Apple Exposure Notification) qui a été ajoutée aux smartphones Android et iPhone est représentée par une couche applicative intégrée au système d’exploitation. Cette fonction sera activée si on installe Swiss Covid. L’utilisation de Swiss Covid va générer une « IDs aléatoires » ou « code d’identification » toutes les 10 à 20 minutes. Ce code sera diffusé 4 fois seconde par le système Bluetooth/GAEN. Ça va donc créer plus de « bruit » ou « signaux » techniquement que pour d’autres applications.
- Bluetooth permet d’échanger des données et de connecter différents périphériques entre eux. De ce fait, selon les versions du système d’exploitation, un Smartphone qui a la fonctionnalité Bluetooth activée peut être détecté et partiellement « identifié » (MAC Address, identifiant physique unique de la « carte » Bluetooth du mobile) à proximité, mais aussi à plusieurs kilomètres avec les moyens adéquats.
- La présence de vulnérabilités est un problème inhérent au développement de code informatique complexe. Dès lors, à l’instar de tous les autres systèmes, le protocole Bluetooth comporte un certain nombre de faiblesses ou/et de vulnérabilités en termes de sécurité. De plus, les différentes versions de Bluetooth présentes sur les smartphones – qui eux-mêmes peuvent « héberger » différentes versions d’un système d’exploitation – sa constante évolution, rendent cette technologie très dynamique, ce qui crée un terrain favorable à l’apparition à de nouvelles vulnérabilités. Ces risques sont propres à Bluetooth et non à Swiss Covid qui ne fait qu’en hériter par le biais de l’utilisation de la fonction Bluetooth par cette application – sans pour autant que l’installation de Swiss Covid permette un accès supplémentaire aux données du mobile.
- Les types de données échangées par l’intermédiaire de Bluetooth avec les différents périphériques connectés sont donc potentiellement « interceptables ». Ces données comprennent notamment l’accès au journal des appels (avec la possibilité de passer des appels pour un attaquant), le carnet d’adresses (avec la possibilité de le copier, le modifier ou l’effacer), le calendrier, les SMS (avec la possibilité d’intercepter ou d’envoyer des SMS pour un attaquant) ainsi que les adresses et certains identifiants physiques du mobile (dont le code IMEI, qui permet d’identifier spécifiquement la présence d’un mobile sur le réseau télécom d’un pays donné, ou la « Mac Address » qui représente un identifiant physique unique de la carte Bluetooth du mobile).
- Les permissions d’accès données à la couche applicative liée à la gestion du Bluetooth sur un smartphone (Contacts, Journaux d’appels, Localisation, Microphone, SMS, Stockage) ne sont pas directement gérables par l’utilisateur, Néanmoins, certaines de ces permissions d’accès peuvent être gérées dans certains cas au niveau des applications tierces installées par l’utilisateur, ou lors de la connexion à des périphériques.
Dès lors, que penser des risques liés à l’utilisation de Swiss Covid sur le mobile d’un journaliste ?
Les attaques Bluetooth précédemment mentionnées pourraient donner accès au carnet d’adresses, journal d’appels, et SMS… Ces données sont, à la base, plus critiques que celles que l’on pourrait obtenir à travers l’application. Néanmoins, l’interception de données émises par Swiss Covid permettrait de révéler l’identité technique de deux (ou plusieurs) périphériques mobiles à proximité les uns des autres, avec un niveau de précision important. Un travail sur les données obtenues pourrait éventuellement permettre de révéler les identités humaines des parties à proximité. Mais ce risque reste faible, et ce genre d’attaque ne ferait sens que de manière ciblée envers un journaliste en particulier.
Compte tenu des éléments précédemment présentés, les recommandations de RSF Suisse portent davantage sur l’utilisation du Bluetooth de manière générale, que sur celle de Swiss Covid uniquement. Dès lors, dans le cadre d’un travail de journalisme d’investigation ou de prises de contact avec des sources sensibles :
- Il est recommandé de désactiver la fonction Bluetooth du mobile suffisamment en amont du lieu de rendez-vous (et/ou celle de son ordinateur, ou autres périphériques). Le mode avion ne désactive pas la fonction
- Il est aussi recommandé de désactiver la « recherche d’autres périphériques Bluetooth » et l’utilisation de la « Localisation Bluetooth» dans les paramètres du Smartphone. Pour les détenteurs d’iPhone, la désactivation de Bluetooth dans le « centre de contrôle » n’est pas suffisante (voir lien au bas de l’article).
- Il est aussi important de vérifier que son nom n’apparaisse pas dans le partage de connexion Wifi ou autres.
- Pour les personnes qui utiliseraient Swiss Covid, il est aussi possible de désactiver l’application en tant que telle (il est possible de désactiver le « traçage de proximité » dans les paramètres de l’application).
- Il est aussi recommandé de ne pas conserver l’historique de ses positions ou de ses trajets au moyen de données GPS. Néanmoins, un smartphone conservera une trace des derniers déplacements, de même que les opérateurs de télécommunication peuvent être en mesure de définir où se trouve un mobile, avec plus ou moins de précision.
- En dehors de ces cas spécifiques, le Bluetooth ne devrait être activé qu’au moment où on en a besoin. Cette recommandation concerne aussi les équipements à domicile.
Il faut noter que les attaques Bluetooth sont peu fréquentes, et rarement utilisées de manière non ciblée envers un public large. Mais les journalistes, à l’instar des défenseurs des droits humains, constituent des cibles privilégiées. Bluetooth n’étant qu’un des éléments qui composent l’écosystème des périphériques mobiles, il ne s’agit donc pas de mettre en garde contre l’application Swiss Covid en tant que telle, mais de rappeler l’importance, pour les professionnels de l’information, de rester très attentifs aux applications installées sur son Smartphone et aux informations qu’elles sont à même de collecter, ainsi que d’en maîtriser les différents paramètres. Une agence de renseignement ou un acteur privé pourraient parfaitement mettre une application à disposition à travers une société-écran sur les magasins d’Apple et de Google. Cette application pourrait dès lors collecter les données auxquelles permettraient d’accéder les permissions que l’on a accordées à l’application. Il est donc important d’adopter des démarches qui visent à une utilisation consciente et maîtrisée des outils numériques.
Ressources :
- How Apple and Google will let your phone warn you if you’ve been exposed to the coronavirus
https://theconversation.com/how-apple-and-google-will-let-your-phone-warn-you-if-youve-been-exposed-to-the-coronavirus-136597 - Protection des renseignements personnels stockés dans vos appareils mobiles
https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/technologie/appareils-mobiles-et-numeriques/appareils-numeriques/02_05_d_47_dpd/ - Covid-19 : Google promet la confidentialité sur les apps de contact tracing s’appuyant sur la solution développée avec Apple
https://www.developpez.com/actu/307335/Covid-19-Google-promet-la-confidentialite-sur-les-apps-de-contact-tracing-s-appuyant-sur-la-solution-developpee-avec-Apple-pourtant-l-entreprise-peut-toujours-collecter-des-donnees-de-localisation/ - Exposure Notifications: Using technology to help public health authorities fight COVID‑19 (GAEN)
https://www.google.com/covid19/exposurenotifications/ - Analysis of SwissCovid – The Security and Cryptography Laboratory at EPFL (including explanations about GAEN)
https://infoscience.epfl.ch/record/278048 - Blogue Savoir Techno : Uniquement vous : les identifiants sur notre téléphone utilisés pour nous suivre à la trace
https://www.priv.gc.ca/fr/blogue/20161208/ - The Many Identifiers in Our Pockets – A primer on mobile privacy and security
https://citizenlab.ca/2015/05/the-many-identifiers-in-our-pocket-a-primer-on-mobile-privacy-and-security/ - Pourquoi le Wi-Fi et le Bluetooth de mon iPhone se rallument tout seuls
http://www.prodigemobile.com/tutoriel-apple/eteindre-wifi-bluetooth-iphone/ - Learn how your smartphone tracks your steps through an average day, and how you can protect your data.
https://blog.avast.com/a-day-in-the-life-of-your-smartphone - How to stop your smartphone from tracking your every move, sharing data and sending ads
https://eu.usatoday.com/story/tech/columnist/komando/2019/02/14/your-smartphone-tracking-you-how-stop-sharing-data-ads/2839642002/ - Structuring the Evaluation of Location-Related Mobile Device Evidence
https://www.sciencedirect.com/science/article/pii/S2666281720300238 - Smartphones, il est temps d’adopter une approche holistique de la sécurité
https://www.linkedin.com/pulse/smartphones-il-est-temps-dadopter-une-approche-holistique-koch/