Le Security Lab d’Amnesty International a mené des recherches et découvert des faiblesses critiques dans la configuration d’EHTERAZ, l’application de traçage des contacts mise en place au Qatar. Désormais corrigée, cette faille aurait permis aux cyber-attaquants d’avoir accès à des données personnelles très sensibles, comme le nom, le numéro de la carte d’identité, le statut médical et les données de localisation de plus d’un million d’utilisateurs.
Amnesty International a alerté les autorités du Qatar au sujet de cette faille après l’avoir découverte, jeudi 21 mai. Elles ont rapidement réagi et ont trouvé la parade le 22 mai en fin de journée.
« Certes, les autorités qatariennes ont rapidement résolu le problème, mais il s’agissait d’une énorme faille au niveau de la sécurité et d’un défaut fondamental de cette application de traçage des contacts, que des pirates informatiques malveillants auraient pu facilement exploiter. C’était d’autant plus inquiétant que l’utilisation de l’application EHTERAZ a été rendue obligatoire le 22 mai, a déclaré Claudio Guarnieri, responsable du Security Lab d’Amnesty International.
« Cet incident devrait servir d’avertissement aux gouvernements du monde entier qui se ruent sur les applications de traçage des contacts, trop souvent mal conçues et péchant par manque de protection de la vie privée. Pour que la technologie joue un rôle efficace dans la lutte contre le COVID-19, les gens doivent avoir confiance dans le fait que ce type d’applications protégera leur vie privée et les droits humains. »
Actuellement, plus de 45 pays ont déployé, ou prévoient de déployer, des applications de traçage des contacts pour lutter contre la propagation du COVID-19. Amnesty International déplore que des États dans le monde entier, notamment l’Australie, la France, l’Italie, les Pays-Bas et le Royaume-Uni, se précipitent pour adopter des outils numériques qui compromettent la vie privée, n’ont pas encore prouvé leur efficacité et sont susceptibles de mettre la sécurité des utilisateurs en péril.
Développée par le ministère de l’Intérieur du Qatar, l’application EHTERAZ utilise le GPS et la technologie Bluetooth pour pister les cas de COVID-19. Cette application, comme beaucoup d’autres en cours de lancement, pose de gros problèmes en raison du manque de protection de la vie privée. Des données personnelles sensibles continuent d’être téléchargées vers une base de données centrale et les autorités peuvent activer la géolocalisation en temps réel des utilisateurs à tout moment.
Depuis vendredi 22 mai, il est obligatoire de télécharger et d’utiliser cette application, qui a été téléchargée plus d’un million de fois sur Google Play Store. Les personnes qui ne l’utilisent pas encourent une peine de prison pouvant aller jusqu’à trois ans et une amende de 200 000 riyals qatariens (environ 50 000 euros).
« Les autorités qatariennes doivent revenir sur leur décision de rendre l’application obligatoire et tous les gouvernements doivent veiller à ce que l’utilisation des applications de traçage des contacts demeure totalement volontaire et conforme aux droits humains », a déclaré Claudio Guarnieri.
Le Security Lab d’Amnesty International a pu accéder à des données sensibles, notamment le nom des utilisateurs, leur état de santé et les coordonnées GPS de leur lieu de confinement, car le serveur central ne disposait pas des mesures de sécurité nécessaires pour protéger ces données.
Si Amnesty International reconnaît les efforts, les mesures et les actions du gouvernement qatarien pour endiguer la propagation de l’épidémie de COVID-19, comme l’accès gratuit aux soins, toutes ces mesures doivent s’avérer conformes aux normes en matière de droits humains.
Cette faille a été révélée dans le cadre d’une analyse plus globale des applications de traçage des contacts, qui avait pour objectif d’évaluer leur degré de respect des droits humains.
Le suivi des contacts est une composante importante d’une réponse efficace à la pandémie et les applications de traçage peuvent permettre d’atteindre cet objectif. Toutefois, afin d’être compatibles avec les obligations relatives aux droits humains, elles doivent intégrer dès leur conception la protection de la vie privée et des données, c’est-à-dire que les données collectées doivent correspondre au minimum requis et être stockées de manière sécurisée. La collecte de données doit se limiter au contrôle de la propagation du COVID-19 et ne doit pas servir à d’autres fins, comme l’application des lois, la sécurité nationale ou le contrôle de l’immigration. En outre, elles ne doivent pas être mises à disposition d’un tiers ni utilisées à des fins commerciales. Toute décision individuelle concernant le téléchargement et l’utilisation d’applications de traçage de contact doit être prise sur une base volontaire.
Complément d’information
L’enquête menée par le Security Lab d’Amnesty International a révélé que pour utiliser l’application qatarienne EHTERAZ, l’utilisateur devait s’enregistrer avec son numéro de carte d’identité et recevait alors un flash code du serveur central. Aucune autre authentification n’était requise : n’importe qui aurait donc pu demander un flash code pour n’importe quel utilisateur d’EHTERAZ.
Du fait de la faille au niveau de l’authentification et du fait que les numéros des cartes d’identité au Qatar suivent un format régulier, il était possible de générer automatiquement toutes les combinaisons des numéros de carte d’identité et de récupérer les données sensibles que stocke EHTERAZ.
Le flash code de l’application fonctionne avec un code couleurs. Rouge indique que l’état de santé de l’utilisateur est « Confirmé » (il a probablement été testé positif au COVID-19). Jaune indique qu’il est « En quarantaine ». S’il est gris, c’est un « Cas suspect ». Si le flash code est vert, l’utilisateur est « En bonne santé ».
Avant que les autorités ne corrigent la faille de sécurité, les données personnelles sensibles contenues dans ce flash code comprenaient les noms en anglais et en arabe, le lieu de confinement, ainsi que le nom du centre médical où une personne testée positive au COVID-19 était soignée. Le 22 mai, les autorités ont rapidement réagi pour atténuer les risques d’exposition des données en supprimant les noms et les données de localisation. Elles ont ensuite publié une mise à jour de l’application EHTERAZ le 24 mai, qui ajoute apparemment un nouveau degré d’authentification afin de prévenir la collecte des données. Ces modifications semblent avoir résolu le problème, mais Amnesty international n’a pas pu vérifier si elles répondaient de manière satisfaisante aux normes de sécurité.