Avec l'explosion de la pandémie mondiale du coronavirus, se répand en outre le désir légitime de maîtriser sa propagation, mais aussi celui d'essayer de le simuler et de contrôler les populations qui sont à la source de son accélération. Dans cette dernière démarche la technologie est vue comme le « sauveur » inespéré. Malheureusement des courses technologiques développées dans l'extrême hâte peuvent engendrer d'autres dégâts tout aussi graves que le problème de départ qu'on essaye de combattre.

À ce titre plusieurs projets d'applications mobiles se sont développés comme moyens de surveiller la propagation du coronavirus. Certaines de ces applications mobile ne sont que des relais de données statistiques et cartes géographiques, ou d'autres ne gèrent que les questions-réponses concernant la maladie. Ce ne sont pas ces applications-ci dont je parle ici, mais bien les applications mobiles oeuvrant dans la simulation ou le tracking des contaminations. Très vite la surveillance via mobile des citoyens, est devenue un problème de vie privée. Alors a émergé un protocole qui semblait moins intrusif : le Bluetooth. Sur le plan de la protection de la vie privée c'est peut-être le cas, mais certainement pas sur le plan des risques informatiques.

En Europe le projet PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) a émergé, notamment lié à l'EPFL. Tous les gouvernements semblent courir vers ce projet ou des projets similaires : la Suisse, l'Allemagne, l'Angleterre avec une application spécifique du NHS, l'Autriche avec « Stopp Corona », en France plusieurs projets semblent se lancer dans la course, à Singapour est sortie précédemment l'application TraceTogether. La liste ci-dessus n'est sans doute pas exhaustive.

Même si des avis opposés semblent se dresser sur le problème de la vie privée, très peu parlent du problème des failles de sécurité. En 2019 de nombreuses failles de sécurité sont sorties concernant le protocole Bluetooth notamment SweynTooth concernant un grand nombre de devices notamment médicaux, ou l'attaque KNOB concernant les mobiles Apple avec plus de 1.4 milliards de mobiles vulnérables à l'époque de sa sortie.

Mais plus récemment, est sortie début février 2020, la faille critique BlueFrag concernant les mobiles Android, avec plus de 42 % de mobiles Android vulnérables soit 1 milliard de mobiles vulnérables estimé début mars. Cette faille-ci est sans doute la plus problématique concernant les applications de tracking Coronavirus via Bluetooth. Notamment parce que cette faille est « wormable » c'est à dire pouvant amener des infections automatiques de malwares à de nombreuses victimes et ce sans interaction nécessaire de l'utilisateur. Concernant cette faille, du code ProofOfConcept est déjà disponible permettant aux développeurs de malwares de s'en inspirer pour tenter de monter des attaques.

De plus 2 autres aspects fond perdurer le nombre d'appareils Android vulnérables au cours du temps. Même si Google a publié un correctif, les autres fabricants ont 90 jours disponibles avant d'être obligés d'appliquer un correctif. Les fabricants de mobiles ne sont aussi pas obligés de fournir des correctifs pour des mobiles au-delà de 2 ans d'ancienneté. Les mobiles de version Android 8 ayant l'exploitation de cette faille la plus critique, ayant plus de 2 ans d'ancienneté, n'auront donc sans doute jamais un correctif de vulnérabilité. Ces aspects rendant la taille de l'écosystème Android vulnérable très grande au cours du temps.

Quelques rares articles concernant les applications mobiles de tracking Bluetooth parlent de travail orienté pour réduire les failles de ces applications. Or ces failles , notamment BlueFrag, sont des failles système, donc le niveau de sécurité des applications elles-mêmes ne changeront rien à la porte ouverte aux infections. Une application mobile de simulation d'infection coronavirus utilisant le Bluetooth pour échanger des données nécessitera forcément que la fonction Bluetooth soit activée sur le mobile. Des malwares pourront donc forcément se servir de ce même canal pour leurs contaminations numériques. Et le nombre de victimes potentielles très grand dans un espace de temps très court, sera une aubaine trop importante pour que les développeurs de malwares ne s'en servent pas pour des infections à large échelle.

Autre aspect, le protocole Bluetooth est un protocole local. Donc toute mesure de protection de réseau au sens large mise en place par des entreprises de télécoms ne serviront à rien quant aux risques cités ici. De plus la responsabilité du possesseur du mobile lui-même sera maximum au regard à une contamination potentielle par simple voisinage Bluetooth.

Tous les aspects cités soit, dangerosité d'une faille critique récente (soit BlueFrag), taille conséquente d'un écosystème vulnérable large sur le moyen terme (nombre de mobiles proches du milliard), nombre important d'utilisateurs bénévoles de nombreux pays voulant faire bénéficier la recherche sur le coronavirus permettant les attaques Bluetooth via l'ouverture du canal Bluetooth à cause des applications Coronavirus, mais aussi les gouvernements poussant à ces projets de mesures épidémiologiques, semblent réunir tous les éléments nécessaires pour qu'une épidémie numérique cette fois-ci, puisse se propager rapidement avec un nombre important de victimes et des conséquences larges sur le long terme au niveau des vols de données, des escroqueries, des piratages de moyens de paiement, de comptes bancaires etc.

Avec l'infection grandissante du Coronavirus dans le monde entier les gouvernements prennent les mesures qui semblent de bon sens, hier Emmanuel Macron en France, et tout à l'heure lors d'une conférence de presse, le Conseil Fédéral en Suisse. Dans la plupart des cas, les gouvernements poussent les entreprises à permettre aux employés de faire du télétravail. Les écoles obligatoires et grandes écoles sont fermées, ou partiellement fermées en favorisant les cours à distance.

Ce que l'actualité « standard » ne parle pas ces derniers temps, c'est la montée de manière très agressive des gangs de ransomware, du nombre et de l'étendue des infections, mais cette fois-ci numériques. Plusieurs d'entre eux ces dernières semaines ont commencé à diffuser en ligne des lots de documents volés chez les victimes précédemment à leur infection.

Ces 2 problèmes qui semblent ne pas être liés pourraient l'être plus qu'il n'y paraît. Le travail à distance, donc l'utilisation de VPN, ou d'autres logiciels de partages, va impliquer les environnements informatiques des particuliers. Ceux-ci sont moins sécurisés que les lieux de travail dans les entreprises (firmware de modems, mises à jour d'OS et de logiciels, WIFI publics, usages plus laxistes des réseaux sociaux et services non professionnels etc). Donc le travail à distance favorise aussi la mise en danger numérique des entreprises, surtout quand ceci devient une nouvelle norme sociale poussées par des gouvernements pour toute une société entière.

De plus, l'arrivée ces derniers jours de failles critiques concernant les systèmes Windows, notamment depuis mercredi celle concernant la dernière version du protocole des partages Windows (SMBv3), qui de plus est une faille « wormable », c'est à dire une faille permettant d'infecter un grand nombre de machines et ce sans action nécessaire de l'utilisateur, va peut-être encore aggraver la situation sur le plan numérique. Les semaines précédentes, les failles concernant des systèmes à distance Citrix, ou des VPN de firewall, ont permis la diffusion des ransomwares chez de nombreuses entreprises victimes.

Toutes les circonstances semblent réunies, pour que des changements de comportements, même s'ils sont souhaitables d'un point de vue social, favorisent une étendue d'infections et de piratages numériques. Dans un environnement informatique global, la sécurité au sens large n'est pas suffisante pour protéger numériquement l'arrivée de tous ces changements de comportements, et freiner tous ceux qui s'empresseront d'exploiter l'arrivée de cette manne d'imperfections permettant d'accéder à de nombreuses nouvelles victimes.