© Pixabay
Après la CNIL, qui a validé sur le principe mais sous certaines conditions le dispositif, c'est au tour de l'ANSSI de livrer son expertise.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié, lundi 27 avril, ses recommandations et quelques rappels pratiques importants concernant la potentielle future application de suivi de contacts (contact tracing) développée par l'Institut national de recherche en sciences et technologies du numérique (INRIA) pour le gouvernement, StopCovid. Si l'on s'en doutait un peu, l'autorité nationale de sécurité du numérique confirme avoir été intégrée au projet de l'application, pour conseiller l'INRIA sur le volet sécurité numérique.
Un vrai « consensus » autour du choix de l'utilisation de la technologie Bluetooth
Vous le savez désormais, StopCovid fonctionnera sur la base du volontariat grâce à la technologie Bluetooth, via le protocole de communication franco-allemand Robert qui permettra à chaque individu testé positif au COVID-19 ayant installé l'application de faire envoyer une notification à tous les contacts croisés les quinze derniers jours précédant le diagnostic, pour les prévenir d'une possible contamination au coronavirus.« Ce protocole semble aujourd'hui faire consensus autour de cette technologie pour ce type d'application », analyse l'ANSSI. L'agence de la cybersécurité recommande d'ores et déjà aux futurs utilisateurs du dispositif de « mettre régulièrement à jour leur téléphone pour limiter les risques liés à l'usage de cette technologie ».
© INRIA / Fraunhofer
Lire aussi :
StopCovid, tracking, contact tracing : les définitions et usages potentiels du traçage numérique (VIDÉO)
StopCovid, tracking, contact tracing : les définitions et usages potentiels du traçage numérique (VIDÉO)
L'ANSSI recommande l'utilisation d'un algorithme récent et performant pour le chiffrement des pseudonymes
Concernant l'anonymisation de StopCovid, au moment où un utilisateur est censé installer l'application, celle-ci procède à un enregistrement auprès d'une autorité centrale qui va elle-même générer des pseudonymes (des ID qui prennent la forme de nombres aléatoires) temporaires qui seront partagés avec l'utilisateur, qui les partagera lui-même avec les applications des personnes qu'il croise, et ainsi de suite. On parle ici de la construction d'un historique de contacts pseudonymisés donc.L'ANSSI rappelle que « le protocole ROBERT a définition des spécifications techniques [ ... ] limitant la taille des informations transmises entre les téléphones disposant de l'application ». Elle recommande ainsi d'utiliser l'algorithme de chiffrement SKINNY-64/192, qui bien que récent, offre d'excellentes performances et n'a, jusqu'à maintenant, souffert d'aucune faiblesse sécuritaire.
Enfin, l'agence a également recommandé l'utilisation d'un coffre-fort électronique, matériel ou logiciel qui puisse protéger efficacement le serveur central et les informations pseudonymisées qui y transiteront via les smartphones.
Source : ANSSI
