StopCovid : l’ANSSI publie ses recommandations concernant le volet sécurité de l’application

L’ANSSI annonce à son tour ses recommandations pour l’application StopCovid sur laquelle planche le gouvernement pour accompagner le déconfinement. Des recommandations sur l’aspect sécurité qui tournent notamment autour d’un coffre-fort électronique et de la détection des attaques.

Après le CNNum ou la CNIL, c’est au tour de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) de publier ses recommandations concernant StopCovid, le projet d’application sur lequel planche le gouvernement pour accompagner le début de déconfinement prévu le 11 mai. Cette application utiliserait le Bluetooth pour dresser un historique des rencontres à risques, afin de pouvoir alerter les personnes potentiellement contaminées et de les inviter à effectuer un dépistage.

L’autorité administrative rappelle qu’elle a été intégrée au projet d’application StopCovid pour conseiller l’INRIA sur le volet sécurité numérique. Voici d’ailleurs ses recommandations :

• Utilisation d’un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central, les informations pseudonymisées envoyées par le téléphone

• Mise en œuvre sur l’ensemble des composants du dispositif de mesures pour concevoir une architecture sécurisée et permettre le bon fonctionnement du traitement des informations tel qu’envisagé

• Application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS

• Utilisation de mécanismes d’audit de l’imputabilité et de la traçabilité des actions menées sur le système

• Réalisation d’audits et de contrôles de sécurité réalisés par l’ANSSI tout au long de la conception de l’application. L’agence recommande également qu’un audit de type bug bounty soit mené en parallèle. Conçue en mode agile, l’application devra être régulièrement mise à jour par ses utilisateurs

• Création d’un dispositif de gestion des vulnérabilités pour maintenir un bon niveau de sécurité de l’application et du serveur central durant toute la durée d’utilisation de l’application

• Mise en place d’un dispositif de détection des cyberattaques pour réagir au plus tôt en cas de tentatives de compromission du système

Le gouvernement fera sans Apple et Google

Rappelons que le secrétaire d’État chargé du numérique a annoncé au JDD avoir fermé la porte à la solution proposée par Apple et Google pour StopCovid. Cédric O a indiqué une question de "souveraineté sanitaire et technologique". "Ce que disent les épidémiologistes, c’est qu’il n’y a pas de seuil minimum de téléchargements nécessaire pour que cette application soit utile", justifiait-il concernant l’utilité de l’application, alors qu’un sondage indiquait des utilisateurs peu enclins à l’installer. Selon lui, "chaque téléchargement est une chance de plus d’éviter le redémarrage de l’épidémie".