8 juillet 2021 - Publication du rapport final du test de sécurité
(disponible en allemand)
(disponible en allemand)
Comme le rapport [INR-4434] contient une synthèse de différents sujets, nous les avons assemblés et évalués séparément. Vous pouvez trouver notre résumé ici :
30 juillet 2020 - Aujourd’hui, un correctif pour le système backend de l’application SwissCovid a été publié sur GitHub:
(https://github.com/DP-3T/dp3t-sdk-backend/security/advisories/GHSA-5m5q-3qw2-3xf3). Ce patch corrige une erreur dans la vérification des signatures JSON Web Token (JWT alg: none). Le backend de l’application SwissCovid exécute ce code mis à jour depuis le lundi 27 juillet 2020.
17 juillet 2020 - Des spécialistes de l’Office fédéral de l’informatique et de la télécommunication (OFIT) ont résolu un problème de sécurité dans la SwissCovid App aujourd'hui. Cette faille mettait à disposition des clés de manière trop anticipée.
Solution:
Nous aimerions remercier Paul-Olivier Dehaye pour sa contribution à mettre en évidence cette faille de sécurité.
Le rapport final du test de sécurité peut être trouvé ici:
CSIRT OFIT et GovCERT.ch ont testé pendant plusieurs semaines tous les composants du SwissCovid Proximity Tracing System. Une analyse des risques et des recommandations peut être trouvé ici :
L'annexe suivante présente une liste des différentes vulnérabilités que CSIRT OFIT et GovCERT.ch ont trouvées et transmises au projet pour correction.
Lors du test de sécurité publique, plusieurs testeurs ont mentionné qu'il existe un risque d'attaques "replay" et qu'elles pourraient constituer une menace sérieuse pour l'application. Dans l'article suivant, nous aimerions examiner ce sujet :
Dernière modification 08.07.2021