+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Applicatiøns (https://www.tisi-fr.com/board/forumdisplay.php?fid=5)
+--- Sujet : Faille découverte dans l'API de certaine application (/showthread.php?tid=3084)
Faille découverte dans l'API de certaine application - Kurumento - 08-09-2020
Covid-19 : une énorme faille découverte dans l’API de contact tracing conçue par Apple et Google
Acause d’un manque de synchronisation dans le renouvellement des codes envoyés par Bluetooth pour suivre une personne à la trace.Malheureusement c’est ce que voulaient justement éviter Google et Apple.
C’est grâce à des chercheurs Serge Vaudenay et Martin Vuagnoux, de l’Ecole polytechnique fédérale de Lausanne (EPFL), qu’ils ont découvert de nombreuse faille dans le contact tracing d’Apple et Google, qui est l’interface de programmation « Exposure Notifications ». La faille permet de simplement collecter passivement des messages Bluetooth, pour pouvoir suivre une personne à la trace.
Normalement le système d’Apple et Google devaient générer aléatoirement des pseudonymes et des adresses MAC Bluetooth et changés toutes les 15 minutes.
Le problème :
-Parfois l’adresse MAC est modifier avant le pseudonyme, ou inversement. Ce décalage trivial permet alors d’associer les nouvelles valeurs aux anciennes et donc réaliser un suivi.Les chercheurs ont baptisé cette attaque « Petit poucet » car les trames intermédiaires qui jouaient le rôle des petits cailloux dans ce conte d’enfant. En les collectant, elles permettaient tout le temps de ne pas perdre le fil des renouvellements des identifiants.
Dans cette vidéo de démonstration : « https://www.dailymotion.com/video/x7tzetg#tab_embed » , montre que sur 8 smartphones compatibles avec l’application SwissCovid (qui utilise Exposure Notification) .Le résultat était que 5 d’entre eux étaient vulnérable.Cette faille pouvait aussi être exploité avec d’autre application utilisant eux aussi l’interface de programmation « Exposure Notifications ».Comme :
-Corona-Warn en Allemagne , -StoppCorona en Autriche ou Immuni en Italier.
L’application StopCovid n’est pas concernée car elle n’utilise pas le même système.