Après l’avis favorable de la Commission nationale de l’informatique et des libertés (Cnil) et ses recommandations sur le volet RGPD, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a apporté « son expertise technique sur le volet sécurité numérique » à l’Inria qui développe l’application de traçage des contacts sur smartphone baptisée StopCovid. L’objectif ? « Anticiper le risque numérique », source d’angoisse et de frictions dans le débat public.
Application StopCovid – L‘ANSSI apporte à Inria son expertise technique sur le volet sécurité numérique du projethttps://t.co/Xq6RvgIY0O
— ANSSI (@ANSSI_FR) April 27, 2020
Dans un communiqué publié lundi 27 avril, l’institution en charge de la cybersécurité qui vient de rejoindre le projet préconise :
« L’utilisation d’un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central, les informations pseudonymisées envoyées par le téléphone ;
La mise en œuvre sur l’ensemble des composants du dispositif de mesures pour concevoir une architecture sécurisée et permettre le bon fonctionnement du traitement des informations tel qu’envisagé ; L’application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS ;
L’utilisation de mécanismes d’audit de l’imputabilité et de la traçabilité des actions menées sur le système [et] qu’un audit de type bug bounty soit mené en parallèle.
La réalisation d’audits et de contrôles de sécurité réalisés par l’ANSSI tout au long de la conception de l’application ;
La création d’un dispositif de gestion des vulnérabilités pour maintenir un bon niveau de sécurité de l’application et du serveur central durant toute la durée d’utilisation de l’application ;
La mise en place d’un dispositif de détection des cyberattaques pour réagir au plus tôt en cas de tentatives de compromission du système. »
L’ANSSI préconise des mises à jour régulières de son téléphone
Sur la technologie choisie, l’agence se range derrière le « consensus » autour du Bluetooth développé dans le protocole national baptisé ROBERT. L’ANSSI recommande « fortement » aux futurs utilisateurs de mettre régulièrement à jour leur téléphone pour limiter les risques liés à l’usage de cette technologie.
Sur le régime du pseudonymat, l’autorité suggère aussi l’algorithme de chiffrement SKINNY-64/192 pour assurer le chiffrement des pseudos.
« Bien que récent, cet algorithme a été largement étudié et son analyse n’a révélé aucune faiblesse en termes de sécurité. Il offre de plus, d’excellentes performances », écrit l’ANSSI.
Enfin, l’ANSSI souhaite que « tous les travaux menés dans le cadre du projet StopCovid [soient] publiés sous licence open source afin de garantir l’amélioration continue du dispositif et la correction d’éventuelles vulnérabilités ».
Source : ANSSI [PDF]
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.