Après l’avis favorable de la Commission nationale de l’informatique et des libertés (Cnil) et ses recommandations sur le volet RGPD, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a apporté « son expertise technique sur le volet sécurité numérique » à l’Inria qui développe l’application de traçage des contacts sur smartphone baptisée StopCovid. L’objectif ? « Anticiper le risque numérique », source d’angoisse et de frictions dans le débat public.
Dans un communiqué publié lundi 27 avril, l’institution en charge de la cybersécurité qui vient de rejoindre le projet préconise :
« L’utilisation d’un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central, les informations pseudonymisées envoyées par le téléphone ;
La mise en œuvre sur l’ensemble des composants du dispositif de mesures pour concevoir une architecture sécurisée et permettre le bon fonctionnement du traitement des informations tel qu’envisagé ; L’application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS ;
L’utilisation de mécanismes d’audit de l’imputabilité et de la traçabilité des actions menées sur le système [et] qu’un audit de type bug bounty soit mené en parallèle.
La réalisation d’audits et de contrôles de sécurité réalisés par l’ANSSI tout au long de la conception de l’application ;
La création d’un dispositif de gestion des vulnérabilités pour maintenir un bon niveau de sécurité de l’application et du serveur central durant toute la durée d’utilisation de l’application ;
La mise en place d’un dispositif de détection des cyberattaques pour réagir au plus tôt en cas de tentatives de compromission du système. »
L’ANSSI préconise des mises à jour régulières de son téléphone
Sur la technologie choisie, l’agence se range derrière le « consensus » autour du Bluetooth développé dans le protocole national baptisé ROBERT. L’ANSSI recommande « fortement » aux futurs utilisateurs de mettre régulièrement à jour leur téléphone pour limiter les risques liés à l’usage de cette technologie.
Sur le régime du pseudonymat, l’autorité suggère aussi l’algorithme de chiffrement SKINNY-64/192 pour assurer le chiffrement des pseudos.
« Bien que récent, cet algorithme a été largement étudié et son analyse n’a révélé aucune faiblesse en termes de sécurité. Il offre de plus, d’excellentes performances », écrit l’ANSSI.
Enfin, l’ANSSI souhaite que « tous les travaux menés dans le cadre du projet StopCovid [soient] publiés sous licence open source afin de garantir l’amélioration continue du dispositif et la correction d’éventuelles vulnérabilités ».
Source : ANSSI [PDF]