Un nombre "normal" Test de sécurité pour le certificat Covid: 136 failles signalées

ot, ats

22.7.2021 - 16:08

ot, ats

Un test public de sécurité mené sur le certificat Covid a révélé 136 failles réelles ou présumées. Un nombre que la Confédération juge normal, vu la complexité du projet.

Le certificat Covid, sésame pour voyager ou pour participer à certaines manifestations, est disponible en Suisse depuis le 7 juin.
Le certificat Covid, sésame pour voyager ou pour participer à certaines manifestations, est disponible en Suisse depuis le 7 juin.
ATS

Le Centre national pour la cybersécurité (NCSC) a publié jeudi sur son site un bilan du test, en cours depuis fin mai. Il est ouvert aux professionnels et à toutes les personnes intéressées, qui ont eu accès au code source du certificat.

Affichant sa volonté de transparence, le NCSC diffuse une liste de 136 défauts identifiés durant l'exercice. Il précise qu'un certain nombre de lacunes «critiques», toujours en cours d'analyse, ne sont pas publiées pour l'instant pour des raisons de sécurité. Un rapport sera en outre dévoilé prochainement par l’Institut national de test pour la cybersécurité (NTC).

Partie des bugs déjà résolus

Selon la liste publiée, une quarantaine de failles ont déjà été réglées. Une solution est en cours d'élaborations pour une cinquantaine d'autres problèmes.

Certaines failles sont par ailleurs reconnues, mais seront laissées telles quelles car elles sont dues à des exigences expresses des autorités suisses ou européennes, souligne le NCSC. Enfin, un certain nombre de points soulevés ne sont pas des bugs mais le résultat d'une mauvaise appréciation de la personne à l'origine du signalement.

Le test a notamment visé les systèmes générant le certificat (avec les signatures cryptographiques), les services permettant la vérification décentralisée hors ligne et la détection des certificats révoqués. Il a aussi concerné les services de communication permettant de vérifier l'authenticité du document (notamment dans le cadre du certificat européen), ainsi que les applications mobiles (aussi bien celle permettant à l'usager de sauvegarder son certificat sur son téléphone portable que celle prévue pour la vérification de l'authenticité).

Pour danser ou voyager

En Suisse, les certificats Covid-19 sont délivrés depuis le 7 juin. Ils certifient une vaccination complète, une guérison ou un test négatif. Il sont remis soit comme document papier, soit sous forme électronique (PDF avec code QR). Le document contient le nom, le prénom et la date de naissance du titulaire.

Le certificat est requis pour participer à des réunions de plus de 1000 personnes ou pour se rendre dans des clubs, discothèques ou salles de danse. Il est aussi nécessaire pour voyager.