Avec l'explosion de la pandémie mondiale du coronavirus, se répand en outre le désir légitime de maîtriser sa propagation, mais aussi celui d'essayer de le simuler et de contrôler les populations qui sont à la source de son accélération. Dans cette dernière démarche la technologie est vue comme le « sauveur » inespéré. Malheureusement des courses technologiques développées dans l'extrême hâte peuvent engendrer d'autres dégâts tout aussi graves que le problème de départ qu'on essaye de combattre.
À ce titre plusieurs projets d'applications mobiles se sont développés comme moyens de surveiller la propagation du coronavirus. Certaines de ces applications mobile ne sont que des relais de données statistiques et cartes géographiques, ou d'autres ne gèrent que les questions-réponses concernant la maladie. Ce ne sont pas ces applications-ci dont je parle ici, mais bien les applications mobiles oeuvrant dans la simulation ou le tracking des contaminations. Très vite la surveillance via mobile des citoyens, est devenue un problème de vie privée. Alors a émergé un protocole qui semblait moins intrusif : le Bluetooth. Sur le plan de la protection de la vie privée c'est peut-être le cas, mais certainement pas sur le plan des risques informatiques.
En Europe le projet PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) a émergé, notamment lié à l'EPFL. Tous les gouvernements semblent courir vers ce projet ou des projets similaires : la Suisse, l'Allemagne, l'Angleterre avec une application spécifique du NHS, l'Autriche avec « Stopp Corona », en France plusieurs projets semblent se lancer dans la course, à Singapour est sortie précédemment l'application TraceTogether. La liste ci-dessus n'est sans doute pas exhaustive.
Même si des avis opposés semblent se dresser sur le problème de la vie privée, très peu parlent du problème des failles de sécurité. En 2019 de nombreuses failles de sécurité sont sorties concernant le protocole Bluetooth notamment SweynTooth concernant un grand nombre de devices notamment médicaux, ou l'attaque KNOB concernant les mobiles Apple avec plus de 1.4 milliards de mobiles vulnérables à l'époque de sa sortie.
Mais plus récemment, est sortie début février 2020, la faille critique BlueFrag concernant les mobiles Android, avec plus de 42 % de mobiles Android vulnérables soit 1 milliard de mobiles vulnérables estimé début mars. Cette faille-ci est sans doute la plus problématique concernant les applications de tracking Coronavirus via Bluetooth. Notamment parce que cette faille est « wormable » c'est à dire pouvant amener des infections automatiques de malwares à de nombreuses victimes et ce sans interaction nécessaire de l'utilisateur. Concernant cette faille, du code ProofOfConcept est déjà disponible permettant aux développeurs de malwares de s'en inspirer pour tenter de monter des attaques.
De plus 2 autres aspects fond perdurer le nombre d'appareils Android vulnérables au cours du temps. Même si Google a publié un correctif, les autres fabricants ont 90 jours disponibles avant d'être obligés d'appliquer un correctif. Les fabricants de mobiles ne sont aussi pas obligés de fournir des correctifs pour des mobiles au-delà de 2 ans d'ancienneté. Les mobiles de version Android 8 ayant l'exploitation de cette faille la plus critique, ayant plus de 2 ans d'ancienneté, n'auront donc sans doute jamais un correctif de vulnérabilité. Ces aspects rendant la taille de l'écosystème Android vulnérable très grande au cours du temps.
Quelques rares articles concernant les applications mobiles de tracking Bluetooth parlent de travail orienté pour réduire les failles de ces applications. Or ces failles , notamment BlueFrag, sont des failles système, donc le niveau de sécurité des applications elles-mêmes ne changeront rien à la porte ouverte aux infections. Une application mobile de simulation d'infection coronavirus utilisant le Bluetooth pour échanger des données nécessitera forcément que la fonction Bluetooth soit activée sur le mobile. Des malwares pourront donc forcément se servir de ce même canal pour leurs contaminations numériques. Et le nombre de victimes potentielles très grand dans un espace de temps très court, sera une aubaine trop importante pour que les développeurs de malwares ne s'en servent pas pour des infections à large échelle.
Autre aspect, le protocole Bluetooth est un protocole local. Donc toute mesure de protection de réseau au sens large mise en place par des entreprises de télécoms ne serviront à rien quant aux risques cités ici. De plus la responsabilité du possesseur du mobile lui-même sera maximum au regard à une contamination potentielle par simple voisinage Bluetooth.
Tous les aspects cités soit, dangerosité d'une faille critique récente (soit BlueFrag), taille conséquente d'un écosystème vulnérable large sur le moyen terme (nombre de mobiles proches du milliard), nombre important d'utilisateurs bénévoles de nombreux pays voulant faire bénéficier la recherche sur le coronavirus permettant les attaques Bluetooth via l'ouverture du canal Bluetooth à cause des applications Coronavirus, mais aussi les gouvernements poussant à ces projets de mesures épidémiologiques, semblent réunir tous les éléments nécessaires pour qu'une épidémie numérique cette fois-ci, puisse se propager rapidement avec un nombre important de victimes et des conséquences larges sur le long terme au niveau des vols de données, des escroqueries, des piratages de moyens de paiement, de comptes bancaires etc.