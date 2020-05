Toutes les applications de suivi du COVID-19 lancées dans le monde présentent des failles de sécurité « plus ou moins critiques », estime l’expert en sécurité mobile Pradeo qui a classé 30 applications déjà en service dans une étude publiée jeudi.

Plus de la moitié de ces applications gouvernementales ou soutenues par des organismes publics portent atteinte à la vie privée et 3 figurent en tête de palmarès avec le pire score possible (3/3) à la fois sur la sécurité et sur la confidentialité: celles de la Turquie (koronaonlem.saglik.gov.tr), du Royaume-Uni (covid.joinzoe.com) et des États-Unis (howwefeel.org).

Ces applications proposées sont « clairement problématiques », selon l’équipe de recherche.

Les applications les plus sécurisées et garantissant le mieux la confidentialité de l’usager sont pour l’instant celles développées en Allemagne - disponible uniquement sur montre connectée pour collecter les données de santé comme le pouls ou le sommeil -, au Brésil et en Israël.

Si l’application allemande Corona-Datenspende présente le maximum de garanties puisqu’elle récolte les données de manière anonyme et sans traçage, d’autres présentent nettement plus de risques en demandant des numéros d’identifiant ou l’accès à la géolocalisation, aux contacts, à l’appareil photo, explique Pradeo.

Sur le volet de la sécurité, le bonnet d’âne de l’étude revient aux applications nécessitant le chargement d’un code externe, dit « code dynamique », qui a alors accès à l’application et peut potentiellement servir de porte d’entrée à un logiciel malveillant.

Les applications qui fonctionnent grâce à des codes dits « open source », visibles par tout le monde par souci de transparence, sont logiquement plus vulnérables car elles peuvent plus facilement être la proie d’éventuels hackers.

Les connexions non sécurisées, en moyenne 8 par application, via par exemple des URL peu ou pas protégées sont un autre indicateur de « criticité », toujours selon l’étude.

En France, des chercheurs s’inquiètent de la future application StopCovid, qui doit permettre de prévenir les propriétaires de smartphones ayant été en contact avec des personnes diagnostiquées positives au coronavirus, car ils craignent de possibles détournements.

Le gouvernement a annoncé mardi que cette application serait prête le 2 juin pour accompagner la deuxième phase du déconfinement. Mais sans partenariat avec les géants américains Apple et Google, dont les systèmes d’exploitation (iOS et Android) équipent la quasi-totalité des smartphones en France.