En parallèle du débat parlementaire, l'application StopCovid, élaborée pour mettre en place un traçage numérique des personnes contaminées par le coronavirus, doit être mise à l'épreuve mercredi par un vaste groupe de hackers afin de déceler d'éventuelles failles ou vulnérabilités.

L'application StopCovid pourrait être disponible "dès ce week-end" si le vote au Parlement est favorable, estime Cédric O.
L'application StopCovid pourrait être disponible "dès ce week-end" si le vote au Parlement est favorable, estime Cédric O. © AFP / Hans Lucas / David Himbert

Cela ressemble à un coup d'accélérateur pour StopCovid, dont l'avenir semblait encore incertain il y a quelques semaines. L'application gouvernementale doit permettre à une personne positive au coronavirus, sur la base du volontariat, d'alerter automatiquement tous les utilisateurs avec lesquels elle a eu un "contact prolongé" récent (à moins d'un mètre et durant plus de quinze minutes), afin qu'ils se fassent tester à leur tour. 

Développée par un consortium d'entreprises (Orange, Capgemini, Dassault) et pilotée par l'Institut national de recherche en informatique et en automatique (Inria), annoncée pour le 2 juin, elle pourrait même être disponible "dès ce week-end ou lundi" d'après le secrétaire d'État au numérique, Cédric O, dans Le Figaro et faire partie intégrante de la suite du plan de déconfinement, à partir de mardi 2 juin.  

Mais avant cela, il faut d'une part que les parlementaires approuvent son déploiement lors du débat mercredi à l'Assemblée et au Sénat et d'autre part qu'elle traverse les tentatives de piratages auxquelles elle va être soumise dans les prochaines heures. Ce "bug bounty" ("prime" ou "chasse" au bug) doit permettre à des professionnels de la cybersécurité de déceler les failles critiques de l'application et à ses développeurs de les corriger. 

Dernière étape de la chaîne de sécurité

Le "bug bounty" intervient au terme d'une chaîne de sécurité faite de tests et d'audits, menés essentiellement par l'Anssi, l'Agence nationale de la sécurité des systèmes d'information (qui avait d'ailleurs recommandé la tenue d'une telle chasse au bug). Il permet de trouver un maximum de failles, critiques ou non, et de les corriger avant la publication d'une première version de l'application sur les magasins Apple et Google. C'est ici la seconde phase de "transparence du code" promise par l'Inria, après la publication d'une partie du code de l'infrastructure sur Gitlab, une plateforme dite "open source". 

  • Qui sont les hackers ? 

Le bug bounty s'appuie sur une communauté de hackers dits "éthiques", "bienveillants" et loin de l'imaginaire commun du "pirate informatique qui œuvre dans la pénombre". 

En réalité, ces hackers mettent leurs compétences techniques au service du bien commun et dévoilent les failles, dans l'objectif de rendre les systèmes plus robustes et de sécuriser des outils que l'on utilise au quotidien. Ces hackers sont consultants en cybersécurité, développeurs, étudiants ou passionnés. Dans le cas présent, l'équipe de l'application StopCovid a fait appel à Yes we hack, une entreprise française et plus grosse plateforme de bug bounty en Europe. Elle dispose d'une communauté de 15 000 hackers dans 120 pays différents.

  • Comment marche le bug bounty ? 

Le code de l'application est dévoilé sur une plateforme et les hackers sont invités à attaquer l'application et son infrastructure, selon certains objectifs. Mais les hackers ne travaillent pas totalement gratuitement : à chaque bug trouvé et mis à disposition de développeurs, ils sont récompensés par une prime définie en fonction de la gravité de celui-ci.

  • Qui paie ces primes ? 

En général, c'est l'entreprise ou l'organisme qui commande le bug bounty (ici l'Inria ou l'État). Mais exceptionnellement, ces primes (allant de 50 à 2000 euros) sont prises en charge par Yes we hack. "Ça fait partie de l'effort collectif et on est intéressés par la sécurité de ce qui va être mis en place", indique Guillaume Vassault-Houlière, co-fondateur de Yes we hack.

  • Quel est le calendrier ? 

Dans un premier temps, à partir du 27 mai, une phase "privée" va permettre à 25 personnes aux origines et compétences diverses de tester l'application, son infrastructure, en ayant des "passe droits", des codes de tests, pour pouvoir explorer au maximum le code et le cheminement de l'utilisateur, à la recherche de vulnérabilités. 

Dans un second temps, lorsque l'application sera publique, le bug bounty sera ouvert en continu aux 15 000 chercheurs de Yes we hack jusqu'à ce que StopCovid ne soit plus utilisé (au maximum six mois après la fin de l'état d'urgence sanitaire). L'un des risques et de constater trop de bugs et de failles et de devoir retarder la publication de l'app. 

Tester l'application en permanence et selon des méthodes différentes 

  • Quel est l'intérêt ? 

"L'intérêt du bug bounty, c'est la diversité de méthodologies ; cela crée un effet vertueux et redoutable", précise Guillaume Vassault-Houlière. "L'application a été très probablement testée de façon classique mais là, nous avons nos propres approches, nos propres outils et nous allons attaquer en nombre", confirme Adrien Jeanneau, consultant en cybersécurité pour une société française et "bug hunter", c'est-à-dire chercheur en vulnérabilités sur des sites ou applications.  

  • À quoi les hackers s'attaquent-ils ? 

"Dans l'idée, cela va consister à installer l'application sur un téléphone pour voir ce à quoi un simple utilisateur peut avoir accès. Puis je vais creuser les fonctionnalités, voir les données transmises en Bluetooth, comment elles peuvent être récupérées, si de l'identification ou de la falsification est possible. Et puis je vais avoir des outils sur l'ordinateur qui vont me permettre de comprendre comment l'application fonctionne, de trouver des parties non autorisée", explique Adrien Jeaanneau. L'accès aux données semble être le point "le plus sensible", tant la protection de la vie privée est au cœur du débat sur cette application.

  • Est-ce un fonctionnement inédit ? 

Pas vraiment. Si l'on en parle aujourd'hui, c'est surtout parce que StopCovid est au cœur de toutes les attentions dans le débat politique. Mais la majorité des applications que nous utilisons ont subi ou subissent encore un bug bounty pour tester la vulnérabilité face aux attaques. Par exemple, Yes we hack a expertisé les applications de Deezer ou de Dailymotion, mais aussi celles de banques, de compagnies aériennes, etc.

L'application fonctionne déjà "très correctement" selon Cédric O

En attendant, "l'application fonctionne très correctement" et ce "quel que soit le système d'exploitation", a assuré le secrétaire d'État au Numérique Cédric O, lors d'une intervention sur la Chaîne parlementaire. Entre 10 et 15 jours de tests ont été effectués, sur les 100 téléphones les plus utilisés en France (17 marques différentes) et dans des conditions réelles, en intérieur ou extérieur, dans le métro avec le concours notamment de militaires.

"Il serait faux de dire que l'application ne présente aucun risque. Toute technologie présente toujours des risques mais nous avons pris en la matière toutes les garanties possibles", a encore jugé Cédric O, estimant que StopCovid était "le fichier de santé le plus sécurisé de la République française".

Au terme du vote des parlementaire, non contraignant mais hautement symbolique, le gouvernement prendra un décret, actuellement étudié au Conseil d'État, pour l'encadrement de l'usage de StopCovid. L'exécutif s'appuie aussi sur le feu vert mardi de la Commission nationale informatique et libertés (Cnil) qui estime que StopCovid respecte la législation relative à la vie privée.

Ce contenu n'est pas ouvert aux commentaires.