Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

StopCovid : les recommandations de l’ANSSI

StopCovid : les recommandations de l’ANSSI

Le 28 avril 2020 à 08h48

Après la CNIL sur le volet RGPD, l’ANSSI a fait connaître ses recommandations sur les spécifications techniques de l’application de traçage. 

L’autorité en charge de la cybersécurité du projet StopCovid recommande : 

  • « L’utilisation d’un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central, les informations pseudonymisées envoyées par le téléphone
  • La mise en œuvre sur l'ensemble des composants du dispositif de mesures pour concevoir une architecture sécurisée et permettre le bon fonctionnement du traitement des informations tel qu'envisagé »
  • L'application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS »
  • L'utilisation de mécanismes d'audit de l'imputabilité et de la traçabilité des actions menées sur le système »
  • La réalisation d'audits et de contrôles de sécurité réalisés par l'ANSSI tout au long de la conception de l'application », en y ajoutant un bug bounty 
  • La création d'un dispositif de gestion des vulnérabilités pour maintenir un bon niveau de sécurité de l'application et du serveur central durant toute la durée d'utilisation de l'application »
  • La mise en place d'un dispositif de détection des cyberattaques pour réagir au plus tôt en cas de tentatives de compromission du système ».

L’ANSSI recommande également aux utilisateurs de régulièrement mettre à jour leur téléphone pour assurer une meilleure sécurité du protocole Bluetooth utilisé. Elle suggère aussi l'algorithme de chiffrement SKINNY-64/192. « Bien que récent, cet algorithme a été largement étudié et son analyse n'a révélé aucune faiblesse en termes de sécurité. Il offre de plus, d'excellentes performances ».

Le 28 avril 2020 à 08h48

Commentaires (19)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je vois plutôt comme une bonne chose de ne pas faire le choix que font les GAFAM, néanmoins ce serait sans doute, un encore plus mauvais de faire celui d’Orange.



Connais-tu un lien qui indique que c’est la solution retenu par Orange ?


votre avatar

“L’ANSSI recommande également aux utilisateurs de régulièrement mettre à jour leur téléphone pour assurer une meilleure sécurité du protocole Bluetooth utilisé.”



C’est du bon sens, mais si ton smartphone a plus de 2 ans, obtenir des mises à jour, c’est mort pour la très grande majorité des smartphones.

votre avatar

Le développement est piloté par l’Inria…

https://www.inria.fr/fr/stopcovid



… et l’Inria a spécifié le protocole ROBERT

github.com GitHubCa ne laisse pas beaucoup de choix à l’implémentation:

https://www.numerama.com/tech/619446-stopcovid-vs-apple-pourquoi-la-france-sest-…

votre avatar







DayWalker a écrit :



“L’ANSSI recommande également aux utilisateurs de régulièrement mettre à jour leur téléphone pour assurer une meilleure sécurité du protocole Bluetooth utilisé.” 




C'est du bon sens, mais si ton smartphone a plus de 2 ans, obtenir des mises à jour, c'est mort pour la très grande majorité des smartphones.






J’avais cru comprendre que le bluetooth était une porte d’entrée majeure pour le piratage sur smartphone.



Favoriser son utilisation n’est sans doute pas la meilleure manière de faire


votre avatar







js2082 a écrit :



J’avais cru comprendre que le bluetooth était une porte d’entrée majeure pour le piratage sur smartphone.



Favoriser son utilisation n’est sans doute pas la meilleure manière de faire





Vite supprimons les casques nomades et autres montres connectées.


votre avatar

Merci pour les liens, cependant je n’y ai pas lu la moindre fois «SKINNY-64/192».



«cet algorithme a été largement étudié et son analyse n’a révélé aucune faiblesse en termes de sécurité. Il offre de plus, d’excellentes performances »



Est-ce une création d’Orange ?

votre avatar



L’application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS



Sans stocker l’adresse IP, qui est une donnée personnelle, ça risque d’être limité.

Ou alors elle sera mémorisée, et il faudra faire confiance au service sur le fait qu’elle ne puisse pas être associée à posteriori aux données transmises…

votre avatar

Non.

Un des auteurs est français et travaille pour l’ANSSI:

sites.google.com Googlehttp://jeremy.jean.free.fr/ Jéméry JEAN



Je crois avoir compris que c’est moyen d’utiliser AES pour les IoT avec des intégrations dans le matériel informatique:

https://medium.com/asecuritysite-when-bob-met-alice/skinny-ie-light-weight-8467d…

votre avatar

Ils peuvent pas rajouter une option pour les rencontres ? Je croise cette fille dans le bus et quand je suis à plus de 500m d’elle j’ai la possibilité de lui envoyer un like ? Like qui sera visible par cette fille, bien entendu !

votre avatar

Vite supprimons l’ANSSI !!





“désactiver les services qui ne sont pas nécessaires d’un point de vue métier et qui sont potentiellement sources de menaces, comme la géolocalisation, le Bluetooth, le NFC, etc. ”





ssi.gouv.fr République Française

votre avatar

Euh, tu peux pas lui causer directement dans le bus plutôt que d’attendre d’être à 500m pour te prendre un vent ?

votre avatar







DoWnR a écrit :



Euh, tu peux pas lui causer directement dans le bus plutôt que d’attendre d’être à 500m pour te prendre un vent ?





C’est trop lowtech&nbsp;<img data-src=" />


votre avatar

Hello, Édouard vient de l’enterrer StopCovid. C’est devenu un non-sujet. RIP

votre avatar

Pas encore, le débat parlementaire est reporté.

votre avatar







DoWnR a écrit :



Euh, tu peux pas lui causer directement dans le bus plutôt que d’attendre d’être à 500m pour te prendre un vent ?





J’ai jamais vu personne faire ça et c’est justement pour éviter de ce prendre un vent devant tout le monde. Après faut t’il encore que cette personne sois disponible et accessible. Il y à un tas d’autre exemple ou ce n’est pas le cas.


votre avatar

J’ai vu plein de gens faire ça.



Beaucoup d’entre nous viennent des «fruits» de ce type de rencontre; heureusement que l’humanité n’a pas attendu les petites annonces pour créer des interactions de séductions.



Un vent ou une veste ne sont pas mortels. <img data-src=" />



«La peur n’évite pas le danger, le courage non plus. Mais la peur rend faible, et le courage rend fort.»

votre avatar

“L’ANSSI recommande également aux utilisateurs de régulièrement mettre à jour leur téléphone pour assurer une meilleure sécurité du protocole Bluetooth utilisé.”

C’est pas gagné … Encore faut-il que les constructeurs assurent un suivi de leurs produits, or on voit bien que ce n’est pas le cas, sauf peut-être sur les gros modèles. Et la fragmentation d’Android est aussi un frein à ce genre d’initiative.

Mon Honor 8 n’a pas été mis à jour depuis plus d’un an et demi (depuis le passage à Android 8 …), tandis que le Blackberry Key2 de ma compagne est régulièrement mis à jour depuis sa sortie.

On va donc nous demander de garder le bluetooth activé dans la rue en permanence, sur un parc de téléphone dont le prix va de 50 à 1500 €, avec des versions d’android plus dispersées que des oeufs de paques dans un jardin … Certains doivent s’en réjouir :https://www.futura-sciences.com/tech/actualites/smartphone-android-grosse-faille…

votre avatar

Comme par hasard l’ANSSI recommande un protocole et un chiffrement différents de ceux qui seront implémentés nativement par Google/Apple.



Si qqn voulait absolument forcer l’utilisation de l’appli Orange, on n’aurait pas fait mieux.

votre avatar

C’est bizarre, on sait échanger des crypto actifs de façon anonyme et sécurisé comme avec Monero et ZCash, mais on ne saurait pas faire de même pour du contact traking.



Il y a manifestement une volonté d’échouer.

StopCovid : les recommandations de l’ANSSI

Fermer