L'application StopCovid, si elle voit le jour, participera aux mesures préventives du déconfinement pour éviter (ou limiter) une deuxième vague de contamination par le coronavirus dans les semaines ou mois à venir.
Posant différentes problématiques de sécurité et de protection des données personnelles, le projet mobilise différents intervenants, des concepteurs aux autorités donnant leur avis sur l'encadrement de l'usage et les garde-fous à mettre en place pour ne pas tomber dans une dérive de surveillance de masse.
Si l'Inria (Institut national de recherche pour les sciences et technologies du numérique) est au coeur de l'initiative gouvernementale, l'Anssi (Agence nationale de la sécurité des systèmes d'information) vient lui apporter son expertise et émet un certain nombre de recommandations "sur le volet sécurité numérique".
Elle évoque ainsi l'utilisation d'un coffre-fort électronique pour stocker les données anonymisées envoyées des téléphones vers un serveur central mais aussi la mise en place de mesures pour se protéger contres les attaques informatiques de type DDOS qui rendraient sinon le service indisponible.
Elle recommande "l'utilisation de mécanismes d'audit de l'imputabilité et de la traçabilité des actions menées sur le système" et la mise en place d'un système de type bug bounty avec un dispositif de gestion des vulnérabilités et de surveillance des cyberattaques pour garantir la sécurité dans le temps.
Prenant acte du choix de la technologie Bluetooth et de l'utilisation du protocole Robert, l'Anssi invite par ailleurs les utilisateurs à vérifier régulièrement les mises à jour de leur téléphone et propose d'intégrer le chiffrement SKINNY-64/192, bien documenté, pour le chiffrement des pseudonymes.
Enfin, l'Agence valide le principe d'une publication des travaux autour de StopCovid en open source de manière à "garantir l'amélioration continue du dispositif et la correction d'éventuelles vulnérabilités".
