Recherche des contacts liés à la COVID-19 : quelle est la situation en matière de codage sécurisé ?
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
