Aller au contenu

Discussion:Sécurité et respect de la vie privée des applications Covid-19

Le contenu de la page n’est pas pris en charge dans d’autres langues.
Une page de Wikipédia, l'encyclopédie libre.
Autres discussions [liste]
  • Admissibilité
  • Neutralité
  • Droit d'auteur
  • Article de qualité
  • Bon article
  • Lumière sur
  • À faire
  • Archives
  • Commons


Relecture Julien F - Adil J "Master 2 Cloud Computing Enseignement à distance"[modifier le code]

Bonjour,
Bravo pour le travail fourni.
Nous allons, avec mon collègue Adil J, effectuer une relecture de la page "Sécurité et respect de la vie privée des applications Covid-19".
Dans ce cadre, nous allons reprendre la lecture de votre article et nous allons vous proposer des axes d'améliorations sur le fond et sur la forme de la rédaction.

Sur la forme[modifier le code]

Globale[modifier le code]

Voici les premières remarques que l'on peut faire concernant votre article :
Merci pour vos remarques.
- Il manque une introduction pour énoncer brièvement, le sujet, le plan et son contenu.
Adil J,Julien F (discuter) 17 janvier 2021 à 16:15 (CET)[répondre]
Nous avons ajouté un résumé introductif.
- J'aurais mis au début de l'article en page principale : Covid-19.
Adil J,Julien F (discuter) 17 janvier 2021 à 16:15 (CET)[répondre]
Nous pensons que l'article "Application concernant la Covid-19" est plus pertinent.
- Erreur de syntaxe sur la phrase "Des recherches sur comment préserver" que je remplacerais par "Des recherches sur le(s) moyen(s) de préserver".
Adil J (discuter) 17 janvier 2021 à 16:15 (CET)[répondre]
Modification effectuée.
- Il manque les liens sur des termes dont l'article wiki existe. En voici une liste non exhaustive, avec le code wiki associé que vous pourriez reprendre : GPS, téléphone, Covid-19, Sécurité du téléphone, ID, DP-3T, Bluetooth, Code PIN, TousAntiCovid, QR Code.
Adil J,Julien F (discuter) 17 janvier 2021 à 16:15 (CET)[répondre]
Les liens ont été ajoutées.
-erreur de syntaxe + répétition du mot "protocole" sur la phrase "du protocole de l'application ou de protocoles dont dépend le protocole de l'application", je la remplacerais par "du protocole de l'application ou des dépendances de ce dernier" par exemple.
Adil J (discuter) 17 janvier 2021 à 16:50 (CET)[répondre]
Effectivement la phrase n'était pas bien formulé.
- petite erreur de frappe dans la section "Sécurité" sur le mot "contact.s", une inversion entre le point et le "s".
Adil J (discuter) 18 janvier 2021 à 08:49 (CET)[répondre]
Correction effectuée.
- erreur de grammaire dans la section "Sécurité" sur "les mouvements de populations", le mot "population" est au pluriel dans ce cas.
Adil J (discuter) 20 janvier 2021 à 09:13 (CET)[répondre]
Correction effectuée.
- deux petites erreurs d'orthographe dans le dernier paragraphe de la section "Sécurité", " dés anonymiser" au lieu de "désanonymiser", et " réidentifier" au lieu de "ré-identifier".
Adil J (discuter) 20 janvier 2021 à 09:21 (CET)[répondre]
Correction effectuée.
- Quelques erreurs de grammaire sur le dernier paragraphe de la section "Classification" :
* "des utilisateurs vis-à-vis d'autres utilisateurs" au lieu de "des utilisateurs vis-à-vis des autres utilisateurs".
* "le but de ces applications est de tracer les contact" au lieu de "le but de ces applications et de tracer les contacts".
* "il est plus approprié d'utiliser le terme "pseudonymat" plutôt qu'"anonymat"" au lieu de " il est plus approprié d'utiliser le terme "pseudonymat" plutôt que "anonymat"".
Adil J (discuter) 20 janvier 2021 à 09:33 (CET)[répondre]
- petite erreur de grammaire dans la section "Solution/desire" : " la construction du graphe des rencontres sociales" au lieu de "la construction de graphe des rencontres sociales".
Adil J (discuter) 20 janvier 2021 à 09:40 (CET)[répondre]
Correction effectuée.

Références[modifier le code]

- Réf 6 : j'aurais rajouté la page 2 pour avoir l'ensemble des "3 catégories d'attaquants".
Adil J (discuter) 20 janvier 2021 à 09:59 (CET)[répondre]
Nous avons ajouté la page 2.
- Réf 7 : comme cité plus haut, il existe une page wiki dédiée "TousAntiCovid" que vous pouvez rajouter en lien direct -> TousAntiCovid.
Adil J (discuter) 20 janvier 2021 à 10:09 (CET)[répondre]
Référence ajoutée.
- Réf 8 : il faut peut-être mettre le lien directement vers le document PDF comme vous l'avez sur les autres références "https://eprint.iacr.org/2020/489.pdf".
Adil J (discuter) 20 janvier 2021 à 10:10 (CET)[répondre]
Lien mis à jour.
Réf 9 : erreur sur le formatage de la référence qui renvois vers le lien "Ranking C-19" au lieu de "Mayers Baker 2020, p. 3-4".
Adil J (discuter) 20 janvier 2021 à 10:13 (CET)[répondre]
Pour nous la référence est correcte est pointe bien vers "Mayers Baker 2020, p. 3-4".
- Réf 14 : il faut peut-être mettre le lien directement vers le document PDF comme vous l'avez sur les autres références "https://arxiv.org/ftp/arxiv/papers/2005/2005.03599.pdf".
Adil J (discuter) 20 janvier 2021 à 10:20 (CET)[répondre]
Lien mis à jour.
- Réf 15 : le lien dans la bibliographie ne fonctionne pas.
Adil J (discuter) 20 janvier 2021 à 10:23 (CET)[répondre]
Pour nous le lien fonctionne, pouvez vous vérifier à nouveau ?
Je vous confirme que le lien fonctionne correctement Adil J (discuter) 10 février 2021 à 12:00 (CET)[répondre]
Réf 19 : pas évident d'indiquer le numéro de page sur un article de presse, mais pour faciliter la tâche du lecteur, vous pouvez indiquer que votre citation se situe dans la section "Other Models" de l'article cité par exemple.
Adil J (discuter) 20 janvier 2021 à 10:23 (CET)[répondre]
J'ai ajouté une citation avec le nom de la section concernée.
Réf 25 : vu que le sujet de cette partie concerne la protection de l'anonymat. En ayant lu rapidement, vous pouvez indiquer les pages 3 et 4 de votre article de référence, pour orienter le lecteur vers la bonne rubrique à lire.
Adil J (discuter) 20 janvier 2021 à 10:40 (CET)[répondre]
J'ai ajouté les numéros de pages.
Réf 27 : c'est un article web, mais pour faciliter la lecture de la source, vous pouvez indiquer que votre phrase fait référence à la section "Des libertés inutilement sacrifiées" de la référence.
Adil J (discuter) 20 janvier 2021 à 14:18 (CET)[répondre]
J'ai ajouté une citation avec le nom de la section concernée.
Réf 47 : le lien dans "Références" qui est censé mené au lien de la bibliographie ne fonctionne pas.
Adil J (discuter) 20 janvier 2021 à 14:44 (CET)[répondre]
Correction effectuée.
réf 57 : lien DOI dans la bibliographie ne fonctionne pas, à remplacer par un lien "lire en ligne" par exemple.
Adil J (discuter) 20 janvier 2021 à 14:58 (CET)[répondre]
J'ai ajouté un lien lire en ligne car je n'ai pas trouvé le DOI de l'article.
réf 58 : le code des couleurs commençant à la page 1 de l'article cité, je l'aurais rajouté avec la page 2 dans "Référence".
Adil J (discuter) 20 janvier 2021 à 15:05 (CET)[répondre]
J'ai ajouté la première page dans la citation.
réf 61 : pour lire l'article de presse, il faut souscrire en échange de quelques dollars par an. Je m'interroge sur la pertinence de cette source.
Adil J (discuter) 20 janvier 2021 à 15:15 (CET)[répondre]
En effet l'article n'est pas accessible. J'ai ajouté un article comme nouvelle source qui est accessible gratuitement. Cependant l'article cite lui l'article payant du wall street journal.

Sur le fond[modifier le code]

Partie 1[modifier le code]

- pour élargir les pays de la Réf 5, on pourrait y ajouter les deux articles suivants traitant d'une province du Brésil et de la Suisse :

  • (en) Adelson de Araujo, Israel Garcia, Nelio Cacho, Louis Arthur do Nascimento, Douglas Rolim, Jose Alex de Medeiros et Al, « A Platform for Citizen Cooperation during the COVID-19 Pandemic in RN, Brazil », 2020 IEEE International Smart Cities Conference (ISC2),‎ , p. 1-8 (ISBN 978-1-7281-8294-0, DOI 10.1109/ISC251055.2020.9239008)
- Un article qui pourrait alimenter la sous-section "Respect de la vie privée/Les renifleurs" à titre de référence:
Je n'arrive pas à accéder à l'article. — Le message qui précède, non signé, a été déposé par Baudryo (discuter), le 10 février 2021 à 12:35 (CET)[répondre]
- L'article suivant analyse un grand nombre d'applications Covid-19, et en particulier analyse le type d'autorisation requis par ces applications pour smartphone. Cela pourrait enrichir la section "Respect de la vie privée" :
* (en) Muhammad Ajmal Azad, Junaid Arshad, Syed Muhammad Ali Akmal et Al, « A First Look at Privacy Analysis of COVID-19 Contact Tracing Mobile Applications », IEEE Internet of Things Journal ( Early Access ),‎ , p. 1-11 (ISSN 2327-4662, DOI 10.1109/JIOT.2020.3024180)
Adil J (discuter) 21 janvier 2021 à 10:29 (CET)[répondre]
Bonne idée, on va rajouter un paragraphr à se sujet. - Antoine Huyghe

- Il y a des applications de plusieurs pays dans le monde qui utilisent l'API Google/Apple : Exposure Notification
Elle devrait aussi être ajouté comme ROBERT / StopCovid / TousAntiCovid dans la partie protocole.

https://www.xda-developers.com/google-apple-covid-19-contact-tracing-exposure-notifications-api-app-list-countries/

Adil J JJ.FLEURY (discuter) 18 janvier 2021 à 13:20 (CET)[répondre]

Partie 2 - Attaques[modifier le code]

Voici quelques ajouts possibles :

La faille de securité de l'API Google / Apple
https://www.developpez.com/actu/308548/Covid-19-une-enorme-faille-decouverte-dans-l-API-de-contact-tracing-concue-:par-Apple-et-Google-qui-permettrait-de-suivre-une-personne-a-la-trace/
Le bpost du forum en question fait référence à l'attaque carry-over. On peut identifié identifié quelques articles en creusant le lien source, mais la plupart sont des pre-publication. Je les rajoutes néanmoins dans les bilbiographies. https://lasec.epfl.ch/people/vaudenay/swisscovid/lessons-from-swisscovid.pdf https://eprint.iacr.org/2020/1150.pdf https://arxiv.org/pdf/2006.10719.pdf https://arxiv.org/pdf/2007.02806.pdf https://eprint.iacr.org/2020/1393.pdf https://arxiv.org/pdf/2006.05914.pdf. - Antoine Huyghe
https://ios.developpez.com/actu/304119/iOS-13-5-la-mise-a-jour-du-systeme-d-exploitation-mobile-d-Apple-qui-embarque-l-API-pour-le-contact-tracing-a-ete-jailbreak-grace-a-une-faille-zero-day/
C'est une faille du kernel de l'ios, pas de l'application covid. - Antoine Huyghe


Faille de sécurité de l'API ayant impacté l'application SwissCovid
https://www.igen.fr/app-store/2020/06/des-doutes-sur-la-securite-de-swisscovid-basee-sur-lapi-dapple-et-google-115601
https://www.letemps.ch/economie/swisscovid-feu-critiques-quatre-questions-comprendre
https://www.heidi.news/sante/une-analyse-de-l-epfl-met-en-garde-contre-les-failles-de-l-application-de-contact-tracing-swisscovid
JJ.FLEURY (discuter) 18 janvier 2021 à 13:26 (CET) Julien F (discuter) 17 janvier 2021 à 19:07 (CET)[répondre]

Confidentialité, désanonymisation et exploitation prédictive des données par Palantir Technologies
https://www.palantir.com/covid19/
https://www.reddit.com/r/PLTR/comments/ksg0ai/palantir_ceo_alexander_karp_on_helping/
https://www.lesnumeriques.com/vie-du-net/surveillance-numerique-et-donnees-medicales-palantir-en-embuscade-pendant-la-crise-du-coronavirus-n149225.html
https://www.lesnumeriques.com/vie-du-net/covid-19-algorithmes-et-applications-entrent-dans-la-course-a-la-: vaccination-n158789.html
JJ.FLEURY (discuter) 18 janvier 2021 à 13:53 (CET)[répondre]
Merci pour ces articles. Cependant, ils ne parlent que de possibilité et de supposition. - Antoine Huyghe


Partie Bluethooth :
En complément du (Bluesnarfing), (Bluebugging), (Bluetracking) (Pin cracking attack) dans l'étude de 2018 "Security threats in Bluetooth technology"

1/ Eavesdropping attack ou attaque d’écoute clandestine

Consiste à écouter les communications entre deux a leur insu en volant ou en altérant des informations

a) L’attaque Man in the Middle  :
Le principe est de faire croire aux appareils Bluetooth qu’ils sont entrain de communiquer ensembles alors qu’ils sont entrain de communiquer par l’intermédiaire d’une tierce partie. L’attaquant peut ainsi modifier ou voler les données.

b) L’attaque par relais :
On utilise deux appareils distincts qui communiquent avec deux autres appareils qui pensent communiquer ensembles. Les appareils de l’attaquant retransmettent les informations entre les deux victimes. L’attaquant peut ainsi récupérer les données.

2/ L’attaque des clones

a) Usurpation d’@ MAC ou spoofing considérée comme moyenne : l’attaquant copie le numéro
b) Ré appareillage forcé : l’attaquant copie l’@ MAC et la clé de liaison utilisée entre l’appareil victime et un autre appareil. Au moment où les deux appareils tentent de communiquer, l’appareil dont l’adresse MAC n’est pas usurpée sera forcé de se reconnecter avec l’attaquant.
c) Attaque par brute force : l’attaquant scan l’adresse bluetooth et tente avec un dictionnaire et ou une rainbow table de trouver les 24 bits dédiés à l’appareille victime (24bits sur 48 sont déjà connu car constructeur)
d) L’attaque blue-chop : est une attaque qui vise à perturber le Piconet Bluetooth en copiant l’@d’un appareil connecté et il doit y avoirs plusieurs objets connectés en plus du master. Une fois connecté l’attaquant envoi de demande de connections en continue ce ui perturbe le service.
Un piconet est un réseau qui relie un groupe d’appareil Bluetooth. Un piconet se compose de deux ou plusieurs périphériques occupant le même canal physique. Il pourrait être constitué d’un Smartphone en maitre et d’un ou plusieurs objets connectés (slave)

3/ Attaque perfide ou treacherous attack

Consiste à créer lié un lien de confiance entre l’appareil victime et l’attaquent pour ensuite prendre le contrôle total de l’appareil victime

a) Backdoor attack :
L’attaquant manipule un appareil cible pour compromettre sa sécurité, afin de créer une porte dérobée, avant de rendre le contrôle du téléphone à son propriétaire. Une fois le contrôle d'un appareil victime établi il conserve l’accès pour pouvoir récupérer des données.
b) Blue-Bump :
Technique d’ingénierie social Dans cette attaque, le pirate utilise les tactiques d'ingénierie sociale pour manipuler l'appareil cible pour établir la connexion Bluetooth avec l'appareil attaquant. Après avoir établi la connexion, l'attaquant trompe davantage le périphérique cible pour supprimer sa clé de liaison. L'attaquant demande en outre au périphérique cible une nouvelle génération de clé de liaison, mais cette fois en demandant un accès illimité au périphérique pirate. Une fois cette nouvelle clé acceptée, l'attaquant obtient des autorisations d'accès pour exploiter le périphérique cible, tant que la clé de liaison n'est pas supprimée à nouveau. il conserve l’accès ainsi que le contrôle totale.
JJ.FLEURY (discuter) 23 janvier 2021 à 16:25 (CET
La partie bluetooth a pour vocation de rendre explicite au lecteur le problème lié à l'utilisation du bluetooth sur un appareil et de donner quelques exemples de conséquence des attaques, mais pas de faire une étude détailler des failles Bluetooth, qui serait hors sujet. Nous avons ajouté l'article détailler sur la sécurité des protocoles bluetooth. - Antoine Huyghe

Relecture Antunes B/ Dupont A, master VS2I[modifier le code]

Bonjour, bravo pour votre travail très intéressant. Nous vous proposons quelques modifications et commentaires suite à la relecture de votre article!
Merci pour ce chaleureux commentaire - Antoine Huyghe
  • Vérification des liens

Commentaire général: Le choix des références est pertinent dans l'ensemble car ce sont principalement des articles scientifiques ou des articles de presse (voir les exceptions commentées ci-dessous).

Les pages de l'article ne sont pas précisées pour les références ci-contre : 3, 16, 20, 21, 22, 23, 24, 28, 31, 34

Pour la référence 4, vous avez réalisé une erreur de lecture.
Il n'est pas dit que la confiance envers les applications covid facilitera l'adoption de celles ci à grande échelle.
Il est dit que la solution mise en place à Singapore ne serait pas adoptée dans d'autres pays tels que le Royaume-: Unis
Citation : "We believe it is unlikely that solutions of this nature will be widely adopted in other countries (e.g. the US and UK) due to differing cultural views regarding the power the government should be afforded."
Lorsque vous citez la référence 14, vous dites "la plupart des applications délaissent la solution GPS"

Cependant les pourcentages sont assez équilibrés (57% pour 43%), une reformulation nous parait bienvenue. Citation " Bluetooth (either in centralised or decentralised framework) has accounted for 57% of all the tracking technologies, as compared with the GPS (43%), which merits a further analysis into both the technical and geo"

En effet, une reformulation s'impose.
Le lien de la référence 15 ne fonctionne pas.
Cette référence semble pourtant fonctionner.
La référence 27 est selon nous, beaucoup trop orientée, c'est une association et l'article ne fait qu'une critique trop personnelle et partiale.
Nous précisons bien lors de la citation de la référence qu'il s'agit de là de l'avis de LQDN, et pas d'un consensus scientifique. Sinon, cette remarque pourrait aussi s'appliquer à la réference 26. Des sources contradictoireserait la bienvenue. - Antoine Huyghe
Le lien pour la référence 39 ne fonctionne pas.
Cette référence semble pourtant fonctionner
La référence 41 est un livre payant. Ne pas citer un livre à moins d'avoir lu le livre. Ne pas citer juste un résumé ce n'est pas pertinent !
En effet, il y a du avoir une mauvaise manipulation de ma part. - Antoine Huyghe
Pour la référence 50 : L'article concerne une proposition de loi, rien ne stipule qu'elle a été acceptée (après recherches, pas d'autres articles qui le dit), cependant l'information est pertinente. Je vous conseille de reformuler la phrase.
C'est une bonne remarque, nous reformulons. - Antoine Huyghe

Adèlebébou (discuter) 19 janvier 2021 à 11:48 (CET) Antunes B (discuter) 19 janvier 2021 à 11:49 (CET)[répondre]

Orthographe du résumé introductif
- ligne 2 : utiles
- ligne 3 et 5 : mettre divers à la place de diverses
- ligne 4 : la collecte des données (enlever le "collectées") différera
- ligne 4 : se réalisera
- ligne 5 : "dés anonymisation" erreur de frappe il y a un espace en trop
- ligne 6 : pas d'accent sur le "où": ou
- ligne 7 : manque un s: "corpus d'attaques particulières "
- ligne 7 : enlever le s : "ont alors adopté "
- ligne 7 : "divers choix au sujet du choix du protocole" : écrire "divers choix au sujet du protocole"
- ligne 8 : qui l'entoure
--Adèlebébou (discuter) 25 janvier 2021 à 18:50 (CET)[répondre]
Les corrections ont été ajoutées.

Commentaires sur le fond:

* En complément de la partie "choix politique", voici deux articles qui évoque la possibilité d'une union des applications de traçage anti covid pour l'Europe. Il pourrait être pertinent de se pencher sur les problèmes de sécurité et de récolte des données entre les pays ainsi que la méthode utilisée. Certains pays sont déjà interconnectés, alors que la France par exemple, qui n'utilise pas l'API de Google ou Apple nécessaire à l'interconnexion, ne rejoindra pas le dispositif.
https://www.phonandroid.com/covid-19-toutes-les-applications-de-tracage-sunissent-en-europe-sauf-en-france.html
https://www.lecho.be/economie-politique/belgique/general/coronalert-interconnectee-avec-10-autres-apps-anti-covid/10275243.html
Adèlebébou (discuter) 24 janvier 2021 à 17:25 (CET)[répondre]
C'est en effet un sujet très interessant. Les sources ici sont un peu trop vague, seul un tweet avec une infographie n'est donnée.
  • Voici un article pouvant compléter les parties "protocoles" et celle sur les attaques:

https://arxiv.org/pdf/2006.10933.pdf --Adèlebébou (discuter) 25 janvier 2021 à 17:30 (CET)[répondre]

  • Dans la section choix politique, la Thaïlande a décidé de rendre obligatoire l'installation de son application contre la COVID pour tous déplacements interprovinciaux dans des zones à risque.

Ci-contre le lien : https://toutelathailande.fr/news/grand-cafouillage-a-propos-des-applications-mobiles-de-recherche-de-contact/

Une section sur la thailande a été ajouté.
  • Dans la section choix politique, , il me semble pertinent de développer le cas de l'application française TousAntiCovid puisque cette page est en français. Vous pourriez alors parler de la mise en demeure de la CNIL même si cela fait quelque peu doublon avec la partie faille de ROBERT.

Voici les liens potentiellement intéressant(il s'agit des différentes décisions de la CNIL) ci-dessous : https://www.cnil.fr/fr/application-stopcovid-la-cnil-tire-les-consequences-de-ses-controles https://www.cnil.fr/fr/application-stopcovid-cloture-de-la-mise-en-demeure-lencontre-du-ministere-solidarites-sante https://www.cnil.fr/fr/la-cnil-publie-son-deuxieme-avis-adresse-au-parlement-sur-les-conditions-de-mise-en-oeuvre-de-si-dep --Antunes B (discuter) 25 janvier 2021 à 20:34 (CET)[répondre]

En effet cela est pertinent, nous avons ajoutée une partie sur la France en utilisant les avis de CNIL.



Commentaires sur le fond:

Dans la partie Attaques, vous nommez la sous-partie 4 Autres, alors que la 5ème sous-partie s'intitule Bluetooth. Il me semble judicieux d'intégrer les attaques liés au Bluetooth à la sous-partie 4.
Effectivement c'est est plus clair d'intégrer la partie attaque "Bluetooth" à la partie "Autre". La modification a été faite.
Pour la partie Bluetooth, il me semble pertinent d'ajouter en lien hypertexte la page Wikipédia intitulée Sécurité des protocoles Bluetooth. Cela permet aux lecteurs de s'informer sur les failles du Bluetooth sans que vous n'ayez à développer trop cette partie. De plus, cette partie est à la limite de votre sujet mais votre choix de l'évoquer me semble bon sachant que le Bluetooth est souvent actif lors de l'utilisation des applications contre la Covid.

--Antunes B (discuter) 26 janvier 2021 à 09:15 (CET)[répondre]

L'article Wikipédia intitulée Sécurité des protocoles Bluetooth a été ajouté comme "Article détaillé" pour cette partie.
Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Discussion:Sécurité_et_respect_de_la_vie_privée_des_applications_Covid-19&oldid=184291710 ».