L’entreprise montpelliéraine Pradeo, spécialisée dans la sécurité des terminaux mobiles et des objets connectés, a conduit une étude sur le niveau de sécurité et d’atteinte à la vie privée de 30 applications mobiles nationales Stop-Covid dans le monde. En attendant d’auditer l’application française, Pradeo révèle des résultats pas forcément de nature à rassurer les plus récalcitrants…L'entreprise montpelliéraine Pradeo, dirigée par Clément Saad, est spécialisée dans la sécurité des terminaux mobiles et des objets connectés, et sécurise les flottes de terminaux, les applications et les données.
Son laboratoire vient de réaliser une étude sur le niveau de sécurité et d'atteinte à la vie privée de 30 applications mobiles nationales choisies par les gouvernements de 30 pays pour assurer le suivi du Covid-19.
« Nous nous sommes positionnés pour auditer Stop-Covid France, mais ce ne sera pas avant le 2 juin prochain,déclare Clément Saad.Aujourd'hui, l'enjeu est plus politique que technologique... En attendant, naturellement, on s'est demandé si les inquiétudes autour de ces applications étaient légitimes, d'où cette étude. Je suis assez surpris car sur les 30 applications testées, trois sont plutôt très mauvaises, ce qui est surprenant pour des applications d'État. »
Quel niveau de sécurité et de confidentialité
Les deux paramètres observés par Pradeo sont le niveau de sécurité (vulnérabilités, connexions non sécurisées, présence de librairie de publicité ou de réseaux sociaux, chargement de code dynamique) et le niveau de confidentialité (demande de données personnelles, demande de numéro de téléphone, demande et/ou envoi de la géolocalisation à des sources externes, envoi des contacts à des sources externes).
«La note de sécurité indique s'il y a des trous dans la raquette qui peuvent être exploités, et celle de confidentialité si l'application est curieuse ou non en termes de récupération de données,explique Clément Saad.Ce qui fait monter les scores en matière de sécurité, c'est par exemple quand l'application nécessite de télécharger un code externe plus tard, ce qui peut générer quelque chose de malveillant sans que vous le sachiez. C'est donc un manque de transparence. Concernant la vie privée, si l'application récupère des données mais que c'est anonyme parce qu'il n'y a pas authentification, c'est embêtant mais pas grave. S'il y a authentification, c'est grave ! Autre critère qui fait lever le drapeau rouge : si les données envoyées restent des données d'État, ça va, mais elles sont aussi parfois envoyées sur Apple et Google, et ça, ce n'est pas bon. »
Trois applications problématiques mais l'Allemagne sécure
En fonction des résultats observés, Pradeo a attribué aux applications une « note de criticité » de 1 (faible niveau) à 3 (haut niveau).
Ce qu'il ressort de l'étude, c'est que 17 applications sur 30 obtiennent une (mauvaise) note globale de 3, dont celles de l'Argentine, le Koweït, l'Espagne, l'Australie, l'Autriche, la Corée ou l'Islande, parmi lesquelles trois se distinguent comme clairement problématiques, aux États-Unis, au Royaume-Uni et en Turquie.