Traçage numérique et Covid-19 : le risque de la cybermalveillance à prendre en compte
Depuis que l’idée de créer une solution de traçabilité des personnes infectées par le coronavirus a été émise, la problématique de la sécurité informatique a automatiquement apparu.
En effet l’on se demande s’il existe belle et qui une possibilité que ces solutions de traçabilité puissent intéresser les cybercriminels au point d’en faire une cible privilégiée. Interrogé sur la question, Gérôme Billois, expert en sécurité informatique de chez Wavestone, une firme de cybersécurité répond en ces termes : « Suivant comment les systèmes de traçage numérique vont être mis en place, on peut créer des méga bases de données liées à des personnes. Certaines informations seront nécessaires pour prévenir les personnes avec qui un individu testé positif au Covid-19 a été contact les jours précédents son dépistage : numéro de téléphone, email…. En fonction de la technologie retenue, ces bases peuvent également brasser des données de localisation ou des informations dites de proximité.
Cet artivle va aussi vous intéresser : Un système de traçage lancé de concert par Google et Apple
Dans tous les cas, la concentration de ces données personnelles est suffisante pour attirer des cybercriminels. Et même si ces applications sont gérées au niveau de l’Etat, cela n’arrêtera pas un cybercriminel motivé. ». Mais en étant sûr que les pirates informatiques soient attirés par ce genre de système, il ne faut quand même pas négliger le fait que des données très importantes transiteront et pourront être facilement collectées. Des données qui aux yeux des cybercriminels peuvent valoir une fortune. « Dès lors qu’il s’agit de données médicales, l’impact sur les personnes est beaucoup plus fort. En plus de ses contacts, si un pirate a l’information qu’une personne est malade ou non, il peut procéder à une fraude massive avec plus de chances de tromper ses victimes. On peut imaginer de nombreux scénarios d’exploitation de ce type de données. Juste en se faisant passer pour un acteur de la santé, il enverrait alors un mail aux personnes malades en leur proposant en priorité un traitement, tout en exigeant un numéro de carte bleue pour valider leur identité. Dans une telle situation, les personnes les plus fragiles tomberaient dans le panneau. » souligne Gérôme Billois.
Vu sous cet aspect, il est clair que le danger est réel. Les pirates informatiques vont généralement là où ils peuvent affecter et /ou dérober le maximum de données numériques. et la mise en place de ce genre de système est littéralement une aubaine pour eux. Et cela semble être une réalité quand même que les systèmes de sécurité promis pour ces outils sont sensés rassurer le grand public. Cependant, « Quelque soit l’architecture du service retenue, il y a quasiment toujours besoin d’un point central de collecte de données. Pour alerter les gens, il faut avoir à minima des données de contact comme le téléphone. La sensibilité et l’exposition aux cyberattaques sera moindre si le nombre d’informations dans cette base centrale est restreint. » Expliquait l’expert de Wavestone. En d’autres termes, pour permettre de crier un cadre sécuritaire dans l’usage des outils de traçabilité tel que décrit, la solution serait de réduire au maximum la concentration de données personnelles qui seront utiles pour le fonctionnement de processus. Ce qui semble visiblement difficile à réaliser.
Par ailleurs, l’expert en sécurité informatique a souligné le fait qu’un des risques majeurs concernant cette question de traçabilité demeure les fausses applications. Car si l’objectif des pirates informatiques est de récupérer des données d’utilisateurs, mettre en circulation des applications factices, serait un des moyens les plus efficaces. On peut simplement s’inspirer de l’exemple des faux site web de demande autorisation de circuler qui ont proliféré au début du confinement pour confirmer cette thèse. « Les cybercriminels utilisent tous les événements majeurs qui mobilisent la population. Si le gouvernement lance une application de traçabilité numérique, vous pouvez donc être sûr de voir apparaître des sites frauduleux et des campagnes de phishing pour usurper soit l’application officielle soit pour vanter les mérites d’une application soit-disant plus efficace. Et malheureusement les plus crédules vont cliquer sur les liens frauduleux. ».
En d’autres termes cette question doit être prise très au sérieux. Il faut espérer que les autorités qui ont le projet de mettre en place un tel système mettront aussi les moyens nécessaires pour assurer la sécurité des usagers.
Accédez maintenant à un nombre illimité de mot de passe :
