Advertisements

Contact tracing : attention aux vulnérabilités du bluetooth

Spread the love
Contact tracing : attention aux vulnérabilités du bluetooth

Alors que de plus en plus de gouvernements se tournent vers les applications de traçage pour les aider dans leurs efforts pour contenir le coronavirus, les experts en cybersécurité avertissent que cela pourrait susciter un regain d’intérêt pour les attaques par bluetooth. Ils invitent les développeurs à s’assurer que ces applications sont régulièrement testées pour leurs vulnérabilités et à publier rapidement des correctifs pour combler les lacunes potentielles, tandis que les gouvernements devraient garantir que leurs bases de données sont sécurisées et que les données collectées ne seront pas utilisées à d’autres fins que celles prévues à l’origine.

Les utilisateurs doivent également prendre les mesures nécessaires pour sauvegarder leurs données personnelles et empêcher que leurs appareils ne deviennent la cible de cybercriminels.

publicité

Vulnérabilité du bluetooth

Selon Stas Protassov, co-fondateur et président de la technologie d’Acronis, le bluetooth a déjà présenté plusieurs vulnérabilités dans le passé, y compris en février dernier où BlueFrag, une vulnérabilité critique qui affectait les appareils Android, a été corrigée. Ce genre de problèmes s’est également produit plusieurs fois sur des appareils iOS.

Stas Protassov met en garde : si ces failles ne sont pas réparées, les appareils peuvent être piratés par des attaquants à proximité, et les données personnelles de l’utilisateur sont susceptibles d’être volées. Il souligne ainsi la nécessité pour les utilisateurs de mettre à jour leurs appareils pour s’assurer que les vulnérabilités sont rapidement corrigées. Et comme pour toute application, ils faut également vérifier les autorisations demandées par ces applications de contact tracing.

« Les individus vont vouloir télécharger ces applications pour aider à freiner la pandémie, mais ils doivent aussi être conscients des risques qu’ils prennent en matière de cyberprotection. Il ne faut installer que les applications officielles », insiste-t-il, en précisant que des applications malveillantes ressemblant à des applications officielles sont probablement déjà en cours de développement, et qu’elles seront publiées peu après les applications officielles.

Concentrer la recherche en cybersécurité sur le bluetooth

Niels Schweisshelm, directeur du programme technique de HackerOne, a également mis en évidence les vulnérabilités critiques liées au protocole bluetooth et à ses implémentations, exploitables par des attaquants à distance et qui permettaient l’exécution de code arbitraire sur les appareils Android concernés.

Bien que ces problèmes aient été corrigés depuis, Niels Schweisshelm explique qu’il n’y a aucune garantie que le bluetooth et ses implémentations ne posséderont pas de failles à l’avenir. Il ajoute que la recherche sur la sécurité dans un avenir proche doit se concentrer sur la technologie sans fil, et qu’elle pourrait permettre de mettre à jour le même type de vulnérabilités.

Mises à jour régulières et automatiques

Tom Kellermann, responsable de la stratégie de cybersécurité de VMware Carbon Black, a également souligné la nécessité de tester régulièrement les applications de recherche de contacts pour détecter les vulnérabilités et de publier rapidement les mises à jour critiques. Il a déclaré qu’elles devraient être configurées pour être mises à jour automatiquement et empêcher toute interaction avec les assistants intelligents mobiles.

Notant que les attaques par bluetooth, similaires aux attaques des applications mobiles, resteraient probablement en circulation, Tom Kellermann conseille aux utilisateurs de n’activer la technologie sans fil que lorsqu’ils quittent leur domicile, et de limiter les paramètres de localisation à leur utilisation effective.

L’exemple de Singapour

Les gouvernements doivent également s’assurer que les bases de données dorsales sont sécurisées et procéder régulièrement à des tests d’application afin de limiter l’exploitation des applications de contact tracing. « Toute information personnelle identifiable collectée doit être correctement stockée et cryptée », insiste Stas Protassov, qui ajoute qu’il serait préférable que les données ne soient pas stockées du tout. D’après lui, toutes les précautions possibles doivent être prises pour éviter une fuite massive de données telle que celle impliquant Equifax.

Singapour, où se trouve le siège d’Acronis, a été cité, car le gouvernement a fait preuve de transparence vis-à-vis de l’application nationale de contact tracing, TraceTogether. Les gouvernements devraient selon lui prendre exemple et indiquer clairement quelles sont les informations recueillies par ces applications, comment sont collectées les données, et qui y a accès. De plus, les données doivent dans la mesure du possible être rendues anonymes, ou au moins pseudonymisées. Le gouvernement de Singapour précise que son application TraceTogether ne collecte aucune donnée de localisation et demande le numéro de téléphone de l’utilisateur lors de l’installation, qui est détenu par le ministère de la Santé et stocké dans « un serveur hautement sécurisé » avec un identifiant anonyme aléatoire qui est lié au numéro de téléphone portable.

Lorsque TraceTogether fonctionne sur le téléphone, il crée un identifiant temporaire qui est généré en cryptant l’identifiant de l’utilisateur avec une clé privée, qui est détenue par le ministère de la Santé. L’identifiant temporaire est ensuite échangé avec les téléphones voisins et renouvelé régulièrement, ce qui rend difficile l’identification ou le lien entre l’identifiant temporaire et l’utilisateur, détaille GovTech, l’agence gouvernementale à l’origine de l’application de contact tracing. L’identifiant temporaire ne peut être décrypté que par le ministère de la Santé, ajoute l’agence, et l’application montre les connexions entre les appareils, et non leur emplacement. Ce journal de données est stocké sur le téléphone de l’utilisateur et partagé avec le ministère – avec le consentement de l’utilisateur – lorsque cela est nécessaire pour la recherche de contacts.

« Votre téléphone stockera les identifiants temporaires des téléphones voisins, ainsi que des informations sur le modèle du téléphone voisin, la puissance du signal bluetooth et l’heure. Toutes ces informations sont stockées localement sur votre téléphone, et ne sont pas envoyées au ministère de la Santé, à moins que votre contact ne soit retracé », a déclaré GovTech.

Le bluetooth, une proie facile ?

Selon Samantha Isabelle Beaumont, consultante senior en sécurité du Synopsys Software Integrity Group, les applications de contact tracing permettraient aux cyberattaquants d’accéder au bluetooth des utilisateurs, et ainsi de lire toutes les communications bluetooth sur leurs appareils connectés – y compris leur voiture, la musique qu’ils écoutent, leurs appareils domestiques IoT (Internet des objets), entre autres.

Elle recommande donc aux utilisateurs de se protéger en limitant divers éléments tels que le nombre d’applications qu’ils téléchargent, le nombre d’éléments bluetooth avec lesquels ils se connectent, le nombre d’éléments bluetooth qui apparaissent en “liste blanche” – ou dans les appareils connus – et la quantité d’informations qu’ils transfèrent via bluetooth.

A l’inverse, le gouvernement de Singapour pense qu’il est peu probable que des pirates informatiques puissent pénétrer dans un appareil à l’insu de l’utilisateur ciblé. Selon GovTech, le bluetooth transmet des signaux dans un rayon d’environ 10 mètres et il serait « difficile pour quiconque de s’approcher suffisamment de l’individu, et d’utiliser un ordinateur pour extraire des informations de son téléphone sans qu’il le remarque ». L’agence exhorte toutefois les utilisateurs à s’assurer que le système d’exploitation de leur téléphone est bien à jour.

Kevin Reed, responsable de la sécurité des systèmes d’information d’Acronis, ajoute que les développeurs pensent effectivement que l’attaque doit être menée dans un rayon proche, et que les appareils seraient donc moins exposés à ce type d’attaques.

Les attaques par bluetooth sont plus rares

Néanmoins, Kevin Reed reconnaît que les pirates opportunistes ne se soucient pas de savoir s’ils lancent des attaques via bluetooth ou par Internet lorsqu’ils procèdent dans un endroit bondé. Même si c’est un peu plus difficile aujourd’hui, avec toutes les mesures de distanciation sociale.

Il explique aussi que les développeurs pourraient avoir moins d’expérience avec le bluetooth, par rapport aux plateformes en ligne, et pourraient donc négliger certains éléments qui pourraient entraîner une vulnérabilité. De plus, avec le bluetooth qui est maintenant une fonctionnalité supplémentaire qui doit être activée, cela créerait une surface d’attaque plus large.

Niels Schweisshelm ajoute que les gouvernements devraient évaluer correctement toute la surface d’attaque créée par les applications de contact tracing, et notamment examiner le code source statique ainsi que les tests dynamiques des applications, afin de découvrir d’éventuelles vulnérabilités.

Le bluetooth respecte mieux la vie privée que le GPS

Zulfikar Ramzan, directeur technique de la RSA, a un point de vue plus modéré sur les risques de sécurité du bluetooth. Même s’il reconnaît que la technologie sans fil a connu plusieurs problèmes de sécurité depuis son introduction il y a environ deux décennies, il s’agit maintenant d’un protocole mature et plus fiable que d’autres protocoles plus récents. Cependant, il précise qu’aucun système numérique n’est à l’abri des attaques, qui ne feront que s’améliorer avec le temps. Selon lui, les concepteurs de systèmes doivent continuellement améliorer leurs produits, et il conseille aux utilisateurs de s’assurer que leurs appareils mobiles sont bien mis à jour.

Il conseille également d’examiner les paramètres, en particulier ceux liés à la vie privée, pour vérifier si une activité inconnue n’est pas en cours. Pour lui, le fait que le bluetooth permette d’identifier la proximité de deux personnes sans pour autant exiger une localisation précise le rend préférable à d’autres technologies comme le GPS, qui ne se contente pas d’indiquer la proximité, mais partage aussi la localisation précise des individus.

« Du point de vue de la protection de la vie privée, il est souhaitable de mettre en place des applications de contact tracing qui recueillent le minimum d’informations nécessaires pour déterminer si deux personnes sont en contact l’une avec l’autre. Pour ce faire, il n’est pas nécessaire de collecter des informations précises sur la localisation, mais plutôt de déterminer si deux personnes se trouvent au même endroit », a-t-il précisé.

Garantir la vie privée après la crise

Au-delà de la sécurité et de la vie privée, Zulfikar Ramzan s’interroge sur l’équité. Et notamment, les systèmes peuvent-ils être mis en œuvre de manière à garantir que les données collectées ne seront pas utilisées de manière abusive et à des fins autres que celles prévues à l’origine ?

Pour que ces applications gagnent en popularité et en confiance, il souligne que les gouvernements devraient mettre en place des contrôles et des contrepoids pour réduire la probabilité que les données collectées soient utilisées à mauvais escient. De plus, les organisations impliquées dans la conception de ces systèmes et de leurs composants devraient disposer de procédures solides pour répondre rapidement aux nouveaux problèmes de sécurité.

« Nous vivons aujourd’hui un âge d’or de la surveillance où nos actions laissent derrière elles des petits cailloux numériques. En corrélant les données collectées par les applications de contact tracing avec d’autres données de surveillance, le niveau d’exposition de la vie privée peut considérablement augmenter », prévient-il.

Le contact tracing attire les cyberattaques

Aucun des fournisseurs de sécurité avec lesquels ZDNet s’est entretenu n’a noté une augmentation significative des attaques ciblant les appareils bluetooth, mais la plupart ont convenu que les récentes initiatives autour des applications de contact tracing étaient susceptibles de renouveler l’intérêt des cybercriminels.

« Le bluetooth n’est qu’un vaisseau. Les vraies attaques se produisent sur les applications fonctionnant avec des données bluetooth. L’exploitation de ces applications est le but ultime des attaquants. Ces attaques sont souvent opportunistes et à courte distance », détaille Stas Protassov. Il a en outre fait remarquer qu’avec les millions de personnes qui téléchargent maintenant de telles applications, une base de données d’informations qui était auparavant difficile à obtenir est maintenant ouverte aux agresseurs potentiels. « Comme nous l’avons vu avec les escroqueries liées au Covid-19, les attaquants suivent les tendances et les millions de nouveaux utilisateurs qui se déplacent vers une plateforme rapidement développée en font une cible de choix ».

Zulfikar Ramzan abonde dans le même sens, en faisant remarquer que si rien n’indiquait jusqu’à présent une augmentation des attaques, il y aura probablement un regain d’intérêt pour ce type d’applications à mesure que celles-ci vont se répandre. En fait, il est « pratiquement certain » que de nouvelles attaques vont avoir lieu, mais la question la plus importante est de savoir si ces attaques seront effectives. Selon lui, les chercheurs en cybersécurité conçoivent parfois des attaques créatives et spectaculaires mais, souvent, ces attaques ne fonctionnent que dans des conditions très précises et nécessitent d’énormes ressources. A ce moment-là, aucun acteur raisonnable de la menace ne peut effectivement les mettre en œuvre.

Une augmentation du nombre d’attaques “probable” mais pas encore constatée

Tom Kellermann révèle également que Carbon Black Threat Analysis Unit n’a pas encore constaté d’augmentation des attaques visant les appareils bluetooth, mais il exprime néanmoins des inquiétudes quant aux attaques à basse fréquence, en raison de l’omniprésence des paiements mobiles. Il a également mis en garde contre une forte probabilité que ces attaques augmenteront à mesure que de nouvelles applications de contact tracing seront déployées, car cela crée un modèle économique profitable à l’extorsion.

Samantha Isabelle Beaumont penche aussi pour l’augmentation probable de ces attaques : « plus il y a de portes dérobées dans un système, plus il y a d’accès et de trous qu’un attaquant peut utiliser comme levier pour compromettre un dispositif. Par conséquent, si nous pouvons limiter la quantité de contacts ajoutée ou requise sur un système, plus nous pouvons verrouiller le mécanisme contre les menaces extérieures ».

Demande de transparence sur la collecte de données

Avant de télécharger ce type d’application, Tony Jarvis, directeur technique de Check Point Software Technologies pour l’Asie-Pacifique, souhaite savoir quelles données sont collectées, qui y a accès et ce qu’il est prévu de faire avec ces informations. « Je voudrais également savoir à quelles autres applications ou autorisations cette application a accès. Une sorte de déclaration officielle indiquant que les données personnelles sont protégées sera nécessaire avant que je ne télécharge et n’utilise ces applications », précise-t-il.

Zulfikar Ramzan souligne aussi la nécessité de savoir quelles données ont été spécifiquement collectées, comment elles seront gardées confidentielles et si elles seront partagées ou corrélées avec d’autres données. Il s’interroge également sur les contrôles et contrepoids mis en place pour garantir que les données ne soient pas utilisées à mauvais escient et sur les procédures mises en place pour répondre aux incidents de sécurité.

Tom Kellermann voudrait également savoir si les développeurs ont effectué des tests dans le cadre de l’Open Web Application Security Project (OWASP), si des vulnérabilités ont été découvertes, si elles ont été corrigées et si les utilisateurs peuvent limiter l’accès de l’application à la localisation GPS et aux services d’assistants intelligents.

Les réponses gouvernementales

Interrogée, la GSM Association n’a pas commenté directement les développements autour des applications de contact tracing, notant que ces efforts étaient principalement menés par les gouvernements. L’organisme industriel a toutefois insisté sur l’adoption de recommandations de meilleures pratiques telles que les lignes directrices de la GSMA sur la conception de la confidentialité pour le développement d’applications afin de permettre aux développeurs d’applications, aux développeurs de systèmes d’exploitation et aux consortiums tels que PEPP-PT de concevoir la confidentialité et la sécurité dans leurs logiciels.

Le PEPP-PT, ou Pan-European Privacy Preserving Proximity Tracing, a été mis en place pour soutenir le traçage des chaînes d’infection au-delà des frontières nationales en fournissant « des normes, des technologies et des services » aux pays et aux développeurs. L’organisation se décrit elle-même comme une « grande équipe européenne ».

En France, la Cnil a finalement donné son feu vert au développement d’une application de traçage des citoyens afin d’endiguer la pandémie, mais elle reste vigilante à l’application de nombreux garde-fous. Pour mieux comprendre StopCovid et les débats qui l’entourent cette application, ce guide vous sera utile.

Source : ZDNet.com

Advertisements

Leave a Reply