COVID : des applications Android concernées par des fuites

Certaines applications Android rencontrent un bug lié au traçage des contacts. Il touche entre autres des applis développées pour lutter contre le Covid-19. Explications.

Les applications pour lutter contre le Covid-19 posent problème. Ça, on le savait déjà. Mais dans un rapport présenté en février dernier par AppCensus, une société qui traque les incursions de nos applis dans notre vie privée, il ressort que des application ont accès à des données sensibles alors qu’elles ne devraient pas. Parmi les informations divulguées, figurent des identifiants Bluetooth qui permettent de savoir si une personne s’est trouvée à proximité d’un individu testé positif au Covid-19. Inquiétant.

Deux mois après, Google travaille sur un correctif

AppCensus a informé Google de ce problème, mais la compagnie américaine a un peu traîné la jambe avant de réagir. Il aura en effet fallut 60 jours sans réaction de la part du géant américain avant que AppCensus se décide à rendre l’affaire publique. La faille concerne en effet l’API commune d’Apple et Google permettant le traçage des contacts et utilisé dans plusieurs pays en Europe : Suisse, Espagne, Allemagne, Royaume-Uni, etc. Cela dit, il semblerait que ce dernier affecte seulement les appareils Android. Ces données de traçage sont enregistrées dans une mémoire système spécifique difficilement accessible. Sauf pour les applications préinstallées par les constructeurs ! Ces dernières détiennent des privilèges système spéciaux leur permettant d’avoir accès à ces données sensibles. Récemment, Google a annoncé être en train de déployer un correctif pour résoudre ce problème.

bug android
TousAntiCovid qui n’utilise pas l’API de Google/Apple, n’est pas impactée par ce problème potentiel. Une maigre consolation pour cette appli bancale qui n’a jamais su se rendre attirante…

Chez Google, on la joue « cool »

Le cofondateur d’AppCensus Joel Reardon, nous donne la méthode à suivre afin de résoudre ce problème. Selon lui, corriger le bug est très simple et sa résolution passerait par la suppression de quelques lignes de code jugées non essentielles. « C’est un correctif tellement évident et j’ai été sidéré qu’il ne soit pas considéré comme tel », a-t-il révélé à The Markup. Un autre responsable a tenté de calmer le jeu : « Ces identifiants Bluetooth ne révèlent pas l’emplacement d’un utilisateur ou ne fournissent aucune autre information d’identification. Nous n’avons aucune indication qu’ils ont été utilisés de quelque manière que ce soit« . En tout cas, malgré ses soucis, notre appli de contact tracing TousAntiCovid nationale n’est pas concernée par ce problème potentiel. Un de moins c’est déjà ça.

Source : ZDNet