COVIDSafe est-il sûr? Ce que vous devez savoir sur les problèmes de l'application et les risques liés à Bluetooth

L'application COVIDSafe du gouvernement australien est opérationnelle depuis près de quinze jours, avec plus de cinq millions de téléchargements.

Malheureusement, depuis sa sortie, de nombreux utilisateurs, en particulier ceux qui ont un iPhone, ne savent pas dans quelle mesure l'application fonctionne.

Le directeur de l'agence de transformation numérique, Randall Brugeaud, a désormais admis que l'efficacité de l'application sur les iPhones "se détériore et que la qualité de la connexion n'est pas aussi bonne" lorsque le téléphone est verrouillé et que l'application fonctionne en arrière-plan.

Il y a également eu une confusion concernant l'endroit où les données utilisateur sont envoyées, comment elles sont stockées et qui peut y accéder.

Conflits avec d'autres applications

En utilisant Bluetooth, COVIDSafe recueille des identifiants anonymes auprès d'autres personnes qui utilisent également l'application, en supposant que vous vous rapprochez d'eux (et de leur smartphone) pendant une période d'au moins 15 minutes.

Le Bluetooth doit être activé en permanence (ou au moins activé lors de la sortie de la maison). Mais ce paramètre est expressément déconseillé par le Bureau du Commissaire australien à l'information.

Il est probable que COVIDSafe n'est pas la seule application qui utilise Bluetooth sur votre téléphone. Ainsi, une fois que vous avez activé Bluetooth, d'autres applications peuvent commencer à l'utiliser et à collecter des informations à votre insu.

Le Bluetooth consomme également beaucoup d'énergie et peut rapidement épuiser les piles du téléphone, surtout si plusieurs applications l'utilisent. Pour cette raison, certains peuvent hésiter à participer.

Des conflits ont également été signalés avec des dispositifs médicaux spécialisés. Diabetes Australia a reçu des rapports d'utilisateurs rencontrant des problèmes en utilisant des glucomètres compatibles Bluetooth en même temps que l'application COVIDSafe.

Si cela se produit, le conseil actuel de Diabetes Australia est de désinstaller COVIDSafe jusqu'à ce qu'une solution soit trouvée.

Bluetooth peut toujours suivre votre position

De nombreuses applications nécessitent une connexion Bluetooth et peuvent suivre votre position sans utiliser réellement le GPS.

Les «balises» Bluetooth sont progressivement déployées dans les espaces publics – avec un exemple à Melbourne qui prend en charge les acheteurs malvoyants. Certaines applications peuvent les utiliser pour enregistrer les emplacements que vous avez visités ou traversés. Ils peuvent ensuite transférer ces informations sur leurs serveurs, souvent à des fins de marketing.

Pour éviter que les applications utilisent Bluetooth à votre insu, vous devez refuser l'autorisation Bluetooth pour toutes les applications dans les paramètres de votre téléphone, puis accorder des autorisations individuellement.

Si la confidentialité est une priorité, vous devez également lire la politique de confidentialité de toutes les applications que vous téléchargez, afin de savoir comment elles collectent et utilisent vos informations.

Problèmes avec les iPhones

Le système d'exploitation iPhone (iOS), selon la version, ne permet pas à COVIDSafe de fonctionner correctement en arrière-plan. La seule solution consiste à laisser l'application en cours d'exécution au premier plan. Et si votre iPhone est verrouillé, COVIDSafe peut ne pas enregistrer toutes les données nécessaires.

Vous pouvez modifier vos paramètres pour empêcher votre iPhone de passer en mode veille. Mais cela déchargera votre batterie plus rapidement.

Brugeaud a déclaré que les anciens modèles d'iPhones seraient également moins capables de capter les signaux Bluetooth via l'application.

On s'attend à ce que ces problèmes soient résolus suite à l'intégration de la technologie de traçage des contacts développée par Google et Apple, qui, selon Brugeaud, serait effectuée dans les prochaines semaines.

Vulnérabilités à l'interception de données

Si un utilisateur teste COVID-19 positif et consent à ce que ses données soient téléchargées, les informations sont alors détenues par le gouvernement fédéral sur un serveur Amazon Web Services en Australie.

Les données de l'application sont stockées sur l'appareil d'un utilisateur et transmises sous forme cryptée au serveur. Bien qu'il soit techniquement possible d'intercepter de telles communications, les données seraient toujours cryptées et offriraient donc peu de valeur à un attaquant.

Le gouvernement a déclaré que les données ne seront pas déplacées à l'étranger ou rendues accessibles aux forces de l'ordre américaines. Mais diverses entités, dont le Law Council d'Australie, ont déclaré que les implications sur la vie privée restaient obscures.

Cela dit, il est rassurant de constater que le centre de données Amazon (basé à Sydney) a atteint un niveau de sécurité très élevé, tel que vérifié par le Australian Cyber ​​Security Center.

Le gouvernement fédéral peut-il accéder aux données?

Le gouvernement fédéral a déclaré que les données de l'application ne seront mises à la disposition des responsables de la santé des États et territoires. Cela a été confirmé dans une décision prise en vertu de la loi sur la biosécurité et doit être mis en œuvre dans la loi.

Le ministre fédéral de la Santé, Greg Hunt, a déclaré: "Même une ordonnance d'un tribunal lors d'une enquête sur un crime présumé ne serait pas autorisée à être utilisée" [to access the data]. "

Bien que la détermination et la législation proposée définissent clairement le qui et Comment d'accès aux données COVIDSafe, l'historique montre que le gouvernement n'est peut-être pas le mieux placé pour s'occuper de nos données.

Il semble que le gouvernement ait fait de grands efforts pour promouvoir la sécurité et la confidentialité de COVIDSafe. Cependant, le gouvernement a commandé le développement de l'application, donc Quelqu'un aura les moyens d'obtenir les informations stockées dans le système – les «clés» du coffre-fort.

Si le gouvernement obtenait secrètement l'accès aux données, il est peu probable que nous le découvrions.

Et tandis que les informations de contact stockées sur les appareils des utilisateurs sont supprimées sur une base continue de 21 jours, le ministère de la Santé a déclaré que les données envoyées au serveur d'Amazon "seraient détruites à la fin de la pandémie". On ne sait pas comment une telle date serait déterminée.

En fin de compte, cela revient à faire confiance – quelque chose qui semble faire défaut.

Cet article est republié de The Conversation sous une licence Creative Commons. Lisez l'article original.