StopCovid : l'ANSSI valide l'application, le choix du Bluetooth et le chiffrement des pseudonymes

28 avril 2020 à 11h50
2
masque-covid-smartphone.jpg
© Pixabay

Après la CNIL, qui a validé sur le principe mais sous certaines conditions le dispositif, c'est au tour de l'ANSSI de livrer son expertise.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié, lundi 27 avril, ses recommandations et quelques rappels pratiques importants concernant la potentielle future application de suivi de contacts (contact tracing) développée par l'Institut national de recherche en sciences et technologies du numérique (INRIA) pour le gouvernement, StopCovid. Si l'on s'en doutait un peu, l'autorité nationale de sécurité du numérique confirme avoir été intégrée au projet de l'application, pour conseiller l'INRIA sur le volet sécurité numérique.


Un vrai « consensus » autour du choix de l'utilisation de la technologie Bluetooth

Vous le savez désormais, StopCovid fonctionnera sur la base du volontariat grâce à la technologie Bluetooth, via le protocole de communication franco-allemand Robert qui permettra à chaque individu testé positif au COVID-19 ayant installé l'application de faire envoyer une notification à tous les contacts croisés les quinze derniers jours précédant le diagnostic, pour les prévenir d'une possible contamination au coronavirus.

« Ce protocole semble aujourd'hui faire consensus autour de cette technologie pour ce type d'application », analyse l'ANSSI. L'agence de la cybersécurité recommande d'ores et déjà aux futurs utilisateurs du dispositif de « mettre régulièrement à jour leur téléphone pour limiter les risques liés à l'usage de cette technologie ».

Robert-contamination.jpg
© INRIA / Fraunhofer


L'ANSSI recommande l'utilisation d'un algorithme récent et performant pour le chiffrement des pseudonymes

Concernant l'anonymisation de StopCovid, au moment où un utilisateur est censé installer l'application, celle-ci procède à un enregistrement auprès d'une autorité centrale qui va elle-même générer des pseudonymes (des ID qui prennent la forme de nombres aléatoires) temporaires qui seront partagés avec l'utilisateur, qui les partagera lui-même avec les applications des personnes qu'il croise, et ainsi de suite. On parle ici de la construction d'un historique de contacts pseudonymisés donc.

L'ANSSI rappelle que « le protocole ROBERT a définition des spécifications techniques [ ... ] limitant la taille des informations transmises entre les téléphones disposant de l'application ». Elle recommande ainsi d'utiliser l'algorithme de chiffrement SKINNY-64/192, qui bien que récent, offre d'excellentes performances et n'a, jusqu'à maintenant, souffert d'aucune faiblesse sécuritaire.

Enfin, l'agence a également recommandé l'utilisation d'un coffre-fort électronique, matériel ou logiciel qui puisse protéger efficacement le serveur central et les informations pseudonymisées qui y transiteront via les smartphones.

Source : ANSSI
Modifié le 28/04/2020 à 18h16
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
2
4
Voir tous les messages sur le forum

Actualités récentes

Ninja Theory (Hellblade) donne des détails sur Project: Mara
Renault ne proposera plus la location de batterie pour sa ZOE en France
Netflix s'associe à la Cinémathèque française et va participer à la restauration d'un film de 1927
Écran incurvé Lenovo 32
CES 2021 : notre récap' des meilleures tendances et annonces hardware
Qualcomm travaillerait sur le concurrent de l'Apple M1, nom de code : SC8280
Google bride Chromium et restreint la synchronisation à Chrome
Espagne : un footballeur recruté avec des Bitcoins, une première !
PS5 : des boîtes de la console en vente sur eBay pour plusieurs centaines de dollars
La CNIL, le CSA, l'Hadopi et le Défenseur des droits créent un kit pédagogique du citoyen numérique
Haut de page