Jump to content

StopCovid / TousseAntiCovid : on vous surveille pour votre bien


Waren

Recommended Posts

il y a 5 minutes, Waren a dit :

Oui, il n'y a pas de débat: c'est impossible de la rendre obligatoire car cela exclu de facto toute une tranche de la population et donc rupture d'égalité, nia nia nia.

Plus simple: une version papier de ce passeport sanitaire ou une carte type Vitale. 


Le problème du smartphone est qu’il est totalement paramètrable par de simples évolutions. Une carte.. c’est plus compliqué et le marché noir et autres systèmes de contournement sera développé.

il faudra encore très longtemps pour que l’ensemble de la population ait un smartphone si jamais ça arrive un jour. 
 

Link to post

Si le gouvernement décide de rendre l'application obligatoire il y arrivera. Et si vous croyez que des contraintes comme des personnes âgées sans smartphones pourraient empêcher ou même juste ralentir le mouvement, vous manquez d'imagination.

  • Yea 2
Link to post

Comment vont-ils faire à rendre obligatoire une application uniquement valable sur smartphone? 
si j’utilise encore un banal téléphone portable, comment feront-ils ?

je n’ai pas d’idée à part des cartes à puce ou autre truc complètement falsifiable.

Link to post
il y a 1 minute, SilenT BoB a dit :

Comment vont-ils faire à rendre obligatoire une application uniquement valable sur smartphone? 

Darth Vader's "I Find Your Lack of Faith Disturbing" | Know Your Meme

 

il y a 1 minute, SilenT BoB a dit :

si j’utilise encore un banal téléphone portable, comment feront-ils ?

je n’ai pas d’idée à part des cartes à puce ou autre truc complètement falsifiable.

Tu sous-estimes grandement le pouvoir de la force l'abrutisme de ces abrutis. 

  • Haha 1
Link to post

@L'affreux pense que ce n'est pas ce genre de détail qui peut arrêter un gouvernement habitué à faire dans l'absurde.

Je ne partage pas cette opinion dans le sens où la France est toujours dans la crainte de créer "une rupture d'égalité" pour quoique ce soit. 

Mais dans l'hypothèse où cela se décrète, on sait très bien comment cela se passera, ... et se terminera: un décret inapplicable et de temps en temps, des petits contrôles symboliques et sur-médiatisés pour faire peur. Mais dans l'absolu, on sait tous que les tas est beaucoup trop habitué à échouer pour que cela fonctionne correctement.

  • Yea 2
Link to post
il y a 13 minutes, h16 a dit :

Darth Vader's "I Find Your Lack of Faith Disturbing" | Know Your Meme

 

Tu sous-estimes grandement le pouvoir de la force l'abrutisme de ces abrutis. 

 

Veuillez m'excusez Lord Vador, j'aurai dorénavant une foi totale en l'abrutisme de ces abrutis. Leur pouvoir est grand, il est vrai.😆

Link to post
il y a 13 minutes, Waren a dit :

Mais dans l'absolu, on sait tous que les tas est beaucoup trop habitué à échouer pour que cela fonctionne correctement.

Ceci nous sauvera sans doute. Ouf.

Link to post
il y a 15 minutes, Waren a dit :

Mais dans l'absolu, on sait tous que les tas est beaucoup trop habitué à échouer pour que cela fonctionne correctement.

 

L'objectif de tracer et prévenir la dissémination de la maladie est une chose, celui de rendre l'application obligatoire en est une autre.

Link to post

Pour ceux qui doutent de la capacité de l'absurdistan à ignorer le réel, je rappelle qu'hadopi existe encore.

  • Yea 3
Link to post
il y a 52 minutes, SilenT BoB a dit :

Comment vont-ils faire à rendre obligatoire une application uniquement valable sur smartphone? 
si j’utilise encore un banal téléphone portable, comment feront-ils ?

Ils t'offriront un smartphone. Tu pourras même utiliser leur nouvelle monnaie numérique grâce à ça.

  • Yea 1
  • Haha 2
Link to post
à l’instant, Lugaxker a dit :

Ils t'offriront un smartphone. Tu pourras même utiliser leur nouvelle monnaie numérique grâce à ça, ou même rejoindre leur nouveau réseau de géolocalisation pour recevoir une alerte en cas d'attaque terrorriste.

 

Chic je prendrai le dernier téléphone Chinois pour être certain que tout le monde sur cette planète m'espionne.

Plus sérieusement, je pense que comme tout ce qu'ils tentent de faire, ça sera un flop total. Ils ne sont pas capables de faire des choses à si grande échelle.

Link to post
Il y a 12 heures, Lugaxker a dit :

Ils t'offriront un smartphone.

 

Mais non enfin ils ne vont pas offrir des smartphones ! Quel serait l'intérêt ? Gérer les paumés et les vieux croulants ? Allons. La cible à surveiller est déjà équipée.

 

On ne le voit pas encore et ce n'est probablement pas du tout conçu et perçu comme cela par les décideurs impliqués, mais l'objectif sera finalement l'outil de contrôle. Le traçage de la maladie n'aura été qu'une excuse.

 

L'exemple suivi plus ou moins consciemment est celui de la Chine et son application de surveillance des citoyens.

 

EDIT : L'impératif d'égalité de traitement ne vous protégera pas. Lorsque vous achetez une voiture, il y a un certain nombre de contraintes qui sont imposées au sujet de la voiture et personne ne considère que cela défavorise les possesseurs de voiture vis-à-vis de ceux qui n'en ont pas. Si l'État décide que la possession d'un smartphone est conditionnée à l'utilisation de son application, eh bien ce sera le cas. Tout simplement.

  • Yea 1
Link to post
  • 2 weeks later...
Le 19/04/2021 à 20:54, L'affreux a dit :

 

Mais non enfin ils ne vont pas offrir des smartphones ! Quel serait l'intérêt ? Gérer les paumés et les vieux croulants ? Allons. La cible à surveiller est déjà équipée.

 

On ne le voit pas encore et ce n'est probablement pas du tout conçu et perçu comme cela par les décideurs impliqués, mais l'objectif sera finalement l'outil de contrôle. Le traçage de la maladie n'aura été qu'une excuse.

 

L'exemple suivi plus ou moins consciemment est celui de la Chine et son application de surveillance des citoyens.

 

EDIT : L'impératif d'égalité de traitement ne vous protégera pas. Lorsque vous achetez une voiture, il y a un certain nombre de contraintes qui sont imposées au sujet de la voiture et personne ne considère que cela défavorise les possesseurs de voiture vis-à-vis de ceux qui n'en ont pas. Si l'État décide que la possession d'un smartphone est conditionnée à l'utilisation de son application, eh bien ce sera le cas. Tout simplement.

De manière intéressante on a déjà un cas dans le monde de ce type d'exigence et son implémentation. La Corée du nord. ça ne surprendra personne mais l'utilisation d'un ordinateur/smartphone y est conditionnée par l'installation d'un certain nombre de logiciels espions. Ils ont aussi créé leur propre OS (Red Star OS), une distribution linux.

 

Du point de vue implémentation je vois plusieurs problèmes:

  • *échelle: jusque là on est incapable de fournir l'infrastructure pour les cours à distance, je parlerai pas des projets informatiques de grande ampleur. Imaginons qu'on puisse faire faire ça par un prestataire externe pour résoudre cette question
  • Controle: implémenter sans trop de trou un tel système reviendrait à avoir une chaine de confiance complète allant du hardware (puce TPM avec firmware signé par l'état) jusqu'au système d'exploitation. Aujourd'hui c'est un joyeux bordel et je ne pense pas notre administration capable de faire tenir une infrastructure à clé publique qui soit à la fois suffisament rigoureuse dans sa gestion et sécurisation pour être intégrée par les constructeurs ET politiquement acceptable. Pour mémo, il y a un autre état qui cherche à déployer ses certificats sur les téléphones des gens pour faire de l'interception et des écoutes c'est le Kazakhstan. Il s'est heurté au fait que les navigateurs n'ont que moyennement apprécié ces tentatives de compromission de la confidentialité des données.

Il faudrait donc arriver à forcer la main aux fabricants de téléphones qui ont au moins autant à perdre qu'avaient les navigateurs sur une question similaire.  sans cela tout ce qu'on aura c'est une "suggestion" qui pourra être facilement contournée en désinstallant les applications/installant des systèmes d'exploitation alternatifs.

 

  •  Sécurité: si les clés de chiffrement correspondant aux certificats installés sont compromis par un tiers (acteur étatique) il pourra installer n'importe quoi sur les smartphones sans faire couiner de système de sécurité, ce jusqu'au niveau du système d'exploitation lui même. ça serait open bar. on peux dire "oui mais c'est déjà le cas avec samsung/apple/google" certes. Mais ils ont quand même un meilleur historique de préservation de leurs actifs cryptographique que l'état Français n'a avec tous ses projets informatiques

 

 

Ce qui nous laisse la possibilité énoncée hier sur France Info: faudra un qr code certifié mais pas obligatoirement installé sur un téléphone.

 

De manière intéressante il a été indiqué que:

  • ce QR code est infalsifiable car "certifié"
  • ce QR code est interopérable avec les systèmes d'autres pays d'Europe.

 

Pour moi il n'y a qu'un type d'architecture qui puisse répondre à ces deux critères et qui soit réalistiquement déployable en quelques semaines par nos Saigneurs:

  • le QR code ne contient qu'un lien vers un site d'hébergement de résultat de tests/vaccins celui-ci donne un résultat signé cryptographiquement indiquant "monsieur dupont a été vacciné le X/X/20XX", ainsi qu'un certificat (similaire à ceux utilisés pour https) appartenant à l'état français.
  • Les différents Etats échangent leurs certificats et les douaniers n'ont besoin que d'une appli qui récupère le résultat d'examen au bout du qr code, vérifie que la connexion est bien signée par l'Etat d'où vient le voyageur et enfin que le nom dans la partie signée corresponde à la carte d'identité du voyageur.

 

 

Maintenant la partie rigolote, où et comment est ce que ça peut foirer:

  • vulnérabilité sur la vérification de chaines de certificats, si la chaine est trop longue/boucle est ce que l'appli va dire "échec de vérification" ou valider par défaut? (en gros si je monte mon propre site et que je crée un certificat "Gastro1" qui signe plein plein plein de "GastroX" avec en bout de chaine "masanté.pastotalitaires.gouv.clowns" est ce que l'appli du douanier va pas juste regarder à la fin et dire "OK c'est bon" plutot que tourner pendant 10 minutes à analyser toute la chaine)
  • perte des clés: le stagiaire poste sur github la clé secrète du certificat signant les résultats d'examens
  • vulnérabilité sur le parsing du QR code: ba oui c'est pas simple de lire des QR code, ya pas tant de librairies que ça pour le faire et nos prestataires ont souvent tendance à prendre des vieilles versions parce qu'elles fonctionnent/sont déjà packagées dans des librairies maisons de l'entreprise (voir récemment celebritte et Signal où ils se sont fait coincer à utiliser une version mathusalémique de ffmpeg pourrie de vulnérabilités) dans ce cas là, bricoler un qr code qui crash le lecteur/affiche de fausses informations pourrait se faire mais la difficulté est que chaque pays aura probablement une appli différente pour lire ces QR codes
  • Attaque au niveau de la création des informations de vaccination. Les labos/entités conduisant les tests/vaccins ne sont pas tous à la pointe de la sécurité et peuvent être ciblés pour:
    • vol des clés de signature pour faire de faux certificats signés par le labo machin
    • utilisation de liaisons sécurisées pour uploader de faux certificats sur les serveurs de l'état si seul l'état signe les résultats de vaccins

D'un point de vue économique, l'attaque numéro 3 (librairie de parsing de qr code) est celle qui fait le moins sens pour un attaquant, on peux donc l'oublier. l'attaque N°2 souffre du même problème (différentes implémentations selon les pays) mais est beaucoup moins couteuse à essayer, de plus c'est facile de monter un oracle: on tente de passer la frontière avec un qrcode test légèrement effacé (les QR code supportent les codes correcteur d'erreur donc c'est plausiblement déniable qu'on tente d'attaquer le système) et s'il ne marche pas on peut toujours se rabattre sur un vrai qr code.

 

ça laisse l'attaque des labos. Simple. Social engineering, lacher de clés USB, surveillance du personnel... on tombe dans du très standard  et plus nombreux seront les entités à pouvoir créer des certificats de test/vaccination plus large sera la surface d'attaque.

 

Enfin, bien sûr, on peut toujours corrompre un médecin/acteur interne d'une de ces entités pour avoir de faux certificats mais c'est trop facile et c'est pas drôle.

 

Je me demande combien ça irait chercher sur Tor des faux certificats de vaccination une fois que les frontières commenceront à rouvri...

 

  • Yea 4
  • Love 1
  • Confused 1
Link to post

Globalement d'accord avec tout ça.

La proba d'un leak des clés, des subCA, la corruption aisée des labos, l'interopérabilité qui sera problématique, le darknet et des milliers de hackers à l'affût garantissent que tout ceci sera vite un fiasco.

 

C'est plutôt rassurant mais ça doit rester "en dernier recours". 

Le premier consiste à dire "non, jamais, ton QR Code c'est DTC épicétou".

Link to post
Le 28/04/2021 à 12:10, GastronokThePonderous a dit :

De manière intéressante on a déjà un cas dans le monde de ce type d'exigence et son implémentation. La Corée du nord. ça ne surprendra personne mais l'utilisation d'un ordinateur/smartphone y est conditionnée par l'installation d'un certain nombre de logiciels espions. Ils ont aussi créé leur propre OS (Red Star OS), une distribution linux.

 

Du point de vue implémentation je vois plusieurs problèmes:

  • *échelle: jusque là on est incapable de fournir l'infrastructure pour les cours à distance, je parlerai pas des projets informatiques de grande ampleur. Imaginons qu'on puisse faire faire ça par un prestataire externe pour résoudre cette question
  • Controle: implémenter sans trop de trou un tel système reviendrait à avoir une chaine de confiance complète allant du hardware (puce TPM avec firmware signé par l'état) jusqu'au système d'exploitation. Aujourd'hui c'est un joyeux bordel et je ne pense pas notre administration capable de faire tenir une infrastructure à clé publique qui soit à la fois suffisament rigoureuse dans sa gestion et sécurisation pour être intégrée par les constructeurs ET politiquement acceptable. Pour mémo, il y a un autre état qui cherche à déployer ses certificats sur les téléphones des gens pour faire de l'interception et des écoutes c'est le Kazakhstan. Il s'est heurté au fait que les navigateurs n'ont que moyennement apprécié ces tentatives de compromission de la confidentialité des données.

Il faudrait donc arriver à forcer la main aux fabricants de téléphones qui ont au moins autant à perdre qu'avaient les navigateurs sur une question similaire.  sans cela tout ce qu'on aura c'est une "suggestion" qui pourra être facilement contournée en désinstallant les applications/installant des systèmes d'exploitation alternatifs.

 

  •  Sécurité: si les clés de chiffrement correspondant aux certificats installés sont compromis par un tiers (acteur étatique) il pourra installer n'importe quoi sur les smartphones sans faire couiner de système de sécurité, ce jusqu'au niveau du système d'exploitation lui même. ça serait open bar. on peux dire "oui mais c'est déjà le cas avec samsung/apple/google" certes. Mais ils ont quand même un meilleur historique de préservation de leurs actifs cryptographique que l'état Français n'a avec tous ses projets informatiques

 

 

Ce qui nous laisse la possibilité énoncée hier sur France Info: faudra un qr code certifié mais pas obligatoirement installé sur un téléphone.

 

De manière intéressante il a été indiqué que:

  • ce QR code est infalsifiable car "certifié"
  • ce QR code est interopérable avec les systèmes d'autres pays d'Europe.

 

Pour moi il n'y a qu'un type d'architecture qui puisse répondre à ces deux critères et qui soit réalistiquement déployable en quelques semaines par nos Saigneurs:

  • le QR code ne contient qu'un lien vers un site d'hébergement de résultat de tests/vaccins celui-ci donne un résultat signé cryptographiquement indiquant "monsieur dupont a été vacciné le X/X/20XX", ainsi qu'un certificat (similaire à ceux utilisés pour https) appartenant à l'état français.
  • Les différents Etats échangent leurs certificats et les douaniers n'ont besoin que d'une appli qui récupère le résultat d'examen au bout du qr code, vérifie que la connexion est bien signée par l'Etat d'où vient le voyageur et enfin que le nom dans la partie signée corresponde à la carte d'identité du voyageur.

 

 

Maintenant la partie rigolote, où et comment est ce que ça peut foirer:

  • vulnérabilité sur la vérification de chaines de certificats, si la chaine est trop longue/boucle est ce que l'appli va dire "échec de vérification" ou valider par défaut? (en gros si je monte mon propre site et que je crée un certificat "Gastro1" qui signe plein plein plein de "GastroX" avec en bout de chaine "masanté.pastotalitaires.gouv.clowns" est ce que l'appli du douanier va pas juste regarder à la fin et dire "OK c'est bon" plutot que tourner pendant 10 minutes à analyser toute la chaine)
  • perte des clés: le stagiaire poste sur github la clé secrète du certificat signant les résultats d'examens
  • vulnérabilité sur le parsing du QR code: ba oui c'est pas simple de lire des QR code, ya pas tant de librairies que ça pour le faire et nos prestataires ont souvent tendance à prendre des vieilles versions parce qu'elles fonctionnent/sont déjà packagées dans des librairies maisons de l'entreprise (voir récemment celebritte et Signal où ils se sont fait coincer à utiliser une version mathusalémique de ffmpeg pourrie de vulnérabilités) dans ce cas là, bricoler un qr code qui crash le lecteur/affiche de fausses informations pourrait se faire mais la difficulté est que chaque pays aura probablement une appli différente pour lire ces QR codes
  • Attaque au niveau de la création des informations de vaccination. Les labos/entités conduisant les tests/vaccins ne sont pas tous à la pointe de la sécurité et peuvent être ciblés pour:
    • vol des clés de signature pour faire de faux certificats signés par le labo machin
    • utilisation de liaisons sécurisées pour uploader de faux certificats sur les serveurs de l'état si seul l'état signe les résultats de vaccins

D'un point de vue économique, l'attaque numéro 3 (librairie de parsing de qr code) est celle qui fait le moins sens pour un attaquant, on peux donc l'oublier. l'attaque N°2 souffre du même problème (différentes implémentations selon les pays) mais est beaucoup moins couteuse à essayer, de plus c'est facile de monter un oracle: on tente de passer la frontière avec un qrcode test légèrement effacé (les QR code supportent les codes correcteur d'erreur donc c'est plausiblement déniable qu'on tente d'attaquer le système) et s'il ne marche pas on peut toujours se rabattre sur un vrai qr code.

 

ça laisse l'attaque des labos. Simple. Social engineering, lacher de clés USB, surveillance du personnel... on tombe dans du très standard  et plus nombreux seront les entités à pouvoir créer des certificats de test/vaccination plus large sera la surface d'attaque.

 

Enfin, bien sûr, on peut toujours corrompre un médecin/acteur interne d'une de ces entités pour avoir de faux certificats mais c'est trop facile et c'est pas drôle.

 

Je me demande combien ça irait chercher sur Tor des faux certificats de vaccination une fois que les frontières commenceront à rouvri...

 

 

Intéressant, tu es aussi du métier ?

Link to post

Du métier, c'est vague. je ne suis pas cryptographe mais je suis payé à maintenir mes clients en conformité vis à vis d'exigences de qualité/sécurité. Et aussi à faire en sorte qu'ils ne soient pas trop facilement poutrables par le premier péquin venu, tant que ça reste dans le budget alloué :lol:

 

  • Yea 1
Link to post

Conformité, je connais bien. Je pratique STIG et parle couramment OVAL 😉

Link to post
  • 3 weeks later...
il y a 28 minutes, Waren a dit :

Tousse Anti kovid: ouverture d'une enquête pour favoritisme. L'appli n’aurait fait l’objet d’aucune procédure de passation de marché public.

 

https://www.20minutes.fr/sante/3046643-20210521-coronavirus-enquete-ouverte-application-stopcovid-soupcons-favoritisme

 

 

300 000€ de maintenance mensuelle pour cette sombre merde ? Ca se touche bien...

  • Yea 1
Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...