Serveur minecraft

Un chercheur australien falsifie une preuve de vaccination numérique contre le COVID-19 – Un bon serveur Minecraft

Le 10 septembre 2021 - 8 minutes de lecture


COVID-19[feminine
,
Gestion de la fraude et cybercriminalité
,
Gestion des risques de fraude

Un chercheur vétéran recommande à l'Australie de copier le système de code QR vérifié de l'UE à la place

Jérémy Kirk (jeremy_kirk) •
7 septembre 2021

Un chercheur australien falsifie une preuve de vaccination numérique contre le COVID-19
L'Australie développe des certificats numériques pour montrer quand les individus ont été vaccinés contre COVID-19. (Photo : Service Australie)

L'ingénieur logiciel australien Richard Nelson avertit qu'il a pu créer un faux certificat de vaccin numérique COVID-19 via l'application Express Medicare Plus du gouvernement. Il dit que l'agence en charge de l'application n'a jusqu'à présent pas reconnu son rapport de bogue.

Voir également: Mots de passe : la biotech et la pharmacie ont toutes deux besoin d'une nouvelle voie

Nelson, basé à Sydney, faisait partie d'une équipe de chercheurs indépendants en sécurité qui a identifié l'année dernière de graves failles dans l'application australienne de recherche de contacts numériques.

Le 18 août, il a détaillé les problèmes de certificat de vaccin via Twitter, notant qu'il n'avait pas reçu de réponse de Services Australia, qui est l'agence du gouvernement fédéral qui a développé l'application.

Trois semaines plus tard, le bug n'est toujours pas corrigé. Nelson craint que le problème ne soit adopté par les militants anti-vaccination à des fins néfastes. Il y a aussi la question de savoir comment les faux certificats peuvent présenter un risque accru pour la santé publique.

"S'ils vont l'utiliser pour permettre aux gens d'aller dans des restaurants ou des bars ou même de manger, comment quelqu'un est-il censé vérifier si ce qu'ils voient est réel ou non?" demande Nelson.

Montrer la preuve numérique de la vaccination gagnera en importance. Des États tels que la Nouvelle-Galles du Sud et Victoria restent bloqués, et d'autres États sont sur le fil du couteau en raison de la croissance des cas Delta. Certains États et le gouvernement fédéral ont promis des restrictions plus souples pour ceux qui sont vaccinés après que les États aient atteint des taux de vaccination à double dose de 80 %.

Il est encore tôt pour savoir exactement comment les Australiens montreront leur statut vacciné. Une méthode consiste à utiliser une application gouvernementale sur le téléphone d'une personne. Une autre option consiste à télécharger un certificat de vaccination numérique et à le charger dans les applications Apple Wallet ou Google Pay, selon Services Australia.

L'État de la Nouvelle-Galles du Sud l'a suggéré peut incorporer une preuve numérique de vaccination dans son application Service NSW. L'application est déjà utilisée pour vérifier les emplacements à l'aide de codes QR, qui aident ensuite les traceurs de contact.

Manque de vérification

Le bogue se trouve dans une application appelée Express Medicare Plus. L'application est conçue pour permettre aux gens d'interagir avec une variété de services du gouvernement fédéral.

Au cours des deux derniers mois, le gouvernement a ajouté une fonctionnalité qui retirerait le statut de vaccination COVID-19 d'une personne du registre australien de vaccination. L'application affiche le nom d'une personne, sa date de naissance et si la personne a reçu un vaccin.

Peu de temps après le lancement du long métrage, Nelson dit qu'il a décidé d'y jeter un œil et s'est dit : "Eh bien, je me demande ce qu'ils ont vraiment fait ici pour rendre cela digne de confiance. Et une nuit, j'avais quelques minutes à perdre. pensa 'D'accord, je vais juste jeter un œil à ça.'" Il lui a fallu peu de temps pour trouver les problèmes, qu'il a rapidement tenté de signaler.

Nelson a démontré comment il pouvait manipuler les données de l'application pour montrer qu'il avait reçu un vaccin alors qu'il ne l'avait pas fait. Et jeudi, il a tweeté une autre preuve de concept, impliquant cette fois Craig Kelly, un député fédéral qui a été accusé d'avoir poussé la désinformation autour de COVID-19 et des vaccins.

La manifestation a faussement montré que le politicien avait reçu de l'ivermectine, qui est utilisée pour traiter les infections parasitaires chez l'homme et les animaux, et de l'hydroxychloroquine, généralement utilisée pour les infections paludéennes.

Nelson ne veut pas révéler les détails précis de la façon dont la manipulation est possible. Mais d'une manière générale, il dit que l'application ne vérifie pas non plus que le serveur qui envoie les données relatives à la vaccination est légitime ni que les données de vaccination elles-mêmes le sont. Le correctif impliquerait quelques correctifs de sécurité architecturaux qui assureraient la vérification des deux, dit-il.

Des régions telles que l'UE ont résolu les problèmes de l'application australienne, dit Nelson. De plus, le code derrière ces applications en Europe est ouvert et disponible, dit-il.

En Europe, les personnes vaccinées peuvent montrer un code QR contenant une signature numérique représentant leur statut vaccinal. La signature numérique est confirmée comme valide en vérifiant avec la passerelle de certificat COVID numérique de l'UE, qui stocke les clés publiques pour les autorités de santé publique de divers pays. Une fois le code QR scanné, la clé publique correspondante vérifie la signature, conformément à la documentation de l'UE.

"C'est un mécanisme très simple", dit Nelson à propos du système de l'UE. "Et c'est déroutant pourquoi ils n'ont pas pensé à cette méthode de vérification" en Australie, ajoute-t-il.

Meilleur rapport de bogue

L'application a été développée par Services Australia, qui est une agence du gouvernement fédéral. L'agence a déclaré qu'elle ne commentait pas les problèmes de sécurité mais qu'elle travaillait "en étroite collaboration avec les autorités et les agences compétentes pour enquêter et les résoudre".

"Les certificats numériques COVID-19 ont des fonctionnalités pour se protéger contre les activités frauduleuses compatibles avec d'autres documents officiels du gouvernement, tels que les certificats de naissance et les certificats de citoyenneté", a déclaré l'agence.

Nelson dit qu'après avoir découvert le problème, il a essayé de joindre Services Australia mais a eu du mal à prendre contact.

"En fin de compte, cela revient à ne pas avoir de mécanisme pour entrer en contact avec eux pour signaler ce genre de problèmes en premier lieu", a déclaré Nelson.

Il a également tenté de joindre le ministère de la Santé, qui a une politique de divulgation des vulnérabilités, mais il n'était pas en charge de l'application. L'agence a cependant répondu au bout d'une semaine.

Nelson a également contacté l'Australia Signals Directorate, l'agence d'espionnage australienne. Il a reconnu avoir reçu le rapport le même jour. Dans sa déclaration, Services Australia dit que Nelson "a reçu la reconnaissance du gouvernement australien".

Services Australia a ajouté que : « Quiconque soupçonne que quelqu'un peut créer de faux certificats numériques COVID-19 ou des relevés d'historique de vaccination de Medicare doit le signaler. Ils peuvent le faire en ligne à l'adresse www.servicesaustralia.gov.au/fraud, ou en appelant le 131 524 ."

Nelson a également écrit un article de blog décrivant ses préoccupations et a appelé à un programme de divulgation des vulnérabilités à l'échelle du gouvernement.

Nelson est l'un des nombreux chercheurs qui ont examiné de près COVIDSafe, qui est l'application australienne de recherche de contacts numériques. Les chercheurs ont découvert des bogues logiciels et des problèmes de confidentialité, mais ont allégué que le gouvernement avait agi trop lentement pour remédier aux problèmes.

En outre, le groupe a préconisé que le gouvernement australien adopte les notifications d'exposition, un cadre développé par Apple et Google. Le cadre a été conçu pour fournir des contrôles de confidentialité et une interopérabilité plus stricts, mais le gouvernement a refusé de l'utiliser. COVIDSafe ne joue actuellement aucun rôle significatif dans la recherche des contacts (voir : L'Australie adopte une loi sur la confidentialité pour l'application de recherche de contacts).

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.