Notifications actuelles

Public Security Test des SwissCovid Proximity Tracing Systems 2.0

8 juillet 2021 - Publication du rapport final du test de sécurité 

(disponible en allemand)


Notifications actuelles

Comme le rapport [INR-4434] contient une synthèse de différents sujets, nous les avons assemblés et évalués séparément. Vous pouvez trouver notre résumé ici :


Public Security Test des SwissCovid Proximity Tracing Systems 1.0

30 juillet 2020 - Aujourd’hui, un correctif pour le système backend de l’application SwissCovid a été publié sur GitHub:
(https://github.com/DP-3T/dp3t-sdk-backend/security/advisories/GHSA-5m5q-3qw2-3xf3). Ce patch corrige une erreur dans la vérification des signatures JSON Web Token (JWT alg: none). Le backend de l’application SwissCovid exécute ce code mis à jour depuis le lundi 27 juillet 2020.

17 juillet 2020 - Des spécialistes de l’Office fédéral de l’informatique et de la télécommunication (OFIT) ont résolu un problème de sécurité dans la SwissCovid App aujourd'hui. Cette faille mettait à disposition des clés de manière trop anticipée.

Solution:

  • Toutes les “clés-futures” ont été purgées de la base de données et ne sont plus disponibles à télécharger via des téléphones mobiles. Cette procédure a été close vendredi 17 juillet à 14h55.
  • Un script interne a été identifié comme étant à l’origine du problème. De plus, les dix « fake keys » journalières ont été désactivées.
  • Un patch sera mis à disposition sur Github qui permettra soit de désactiver le “fake keys flag” de manière permanente soit de vérifier que seulement des clés du passé soient générées.

Nous aimerions remercier Paul-Olivier Dehaye pour sa contribution à mettre en évidence cette faille de sécurité.

 

Le rapport final du test de sécurité peut être trouvé ici:

 

CSIRT OFIT et GovCERT.ch ont testé pendant plusieurs semaines tous les composants du SwissCovid Proximity Tracing System. Une analyse des risques et des recommandations peut être trouvé ici :

 

L'annexe suivante présente une liste des différentes vulnérabilités que CSIRT OFIT et GovCERT.ch ont trouvées et transmises au projet pour correction.  

 

Lors du test de sécurité publique, plusieurs testeurs ont mentionné qu'il existe un risque d'attaques "replay" et qu'elles pourraient constituer une menace sérieuse pour l'application. Dans l'article suivant, nous aimerions examiner ce sujet :


Dernière modification 08.07.2021

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/dokumentation/covid-public-security-test/current_findings.html