Recherche des contacts liés à la COVID-19 : quelle est la situation en matière de codage sécurisé ?
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Une version de cet article a été initialement publiée dans Digest DevOps. Il a été mis à jour et diffusé ici.
À ce stade, je suis sûr que nous sommes tous un peu fatigués de l'expression « en ces temps sans précédent »... mais nous vivons vraiment une période sans précédent. Qui aurait cru, à la fin de l'année dernière, que nous allions faire la course pour vaincre une pandémie mondiale destructrice cette année, en faisant tout ce qui était en notre pouvoir pour y parvenir ? Cela aurait semblé presque risible, et plus proche d'une nouvelle série de science-fiction Netflix que d'une partie de notre réalité mondiale. La COVID-19 a complètement transformé notre vie sociale, notre économie et notre sécurité de l'emploi, sans parler de nos priorités politiques.
L'une des contre-attaques contre la COVID-19 s'est faite par le biais de la technologie, de nombreux pays ayant déployé des applications de suivi des contacts. L'Australie dispose de COVIDsafe, sur le modèle de TraceTogether de Singapour. Hong Kong, Taïwan, la Chine, la Corée du Sud, Israël et l'Allemagne ont tous mis en œuvre ou sont en cours de déploiement d'une technologie de suivi des contacts. Le Royaume-Uni a été la région la plus durement touchée d'Europe, avec des dizaines de milliers de décès liés au virus et un taux d'infection élevé. La sortie de leur application est imminente. Les États-Unis, également profondément touchés par le fait que de nombreuses personnes ont tragiquement perdu la vie, ont également déployé des technologies, mais leur approche État par État en matière de recherche des contacts complique leur situation.
À l'exception de pays plus contrôlés par l'État tels que la Chine et Taïwan, l'utilisation de ces applications est volontaire, obligeant les citoyens à télécharger et à utiliser la technologie de leur propre chef. Certains taux d'adoption sont plus efficaces que d'autres ; par exemple, l'application TraceTogether de Singapour a enregistré un taux d'adoption de 25 %, ce qui la rend très inefficace pour atteindre l'objectif recherché.
L'idée qui sous-tend les applications de suivi des contacts est solide. Cette technologie, lorsqu'elle fonctionne bien, permettrait de détecter rapidement les points chauds et de procéder à des tests complets, deux éléments essentiels de la lutte contre la propagation d'un virus contagieux. Cependant, les mots « gouvernement » et « traçage » ne semblent pas vraiment attrayants, et il est naturel que les gens soient prudents quant à ce que le téléchargement de quelque chose comme celui-ci signifierait réellement pour eux.
Quelles sont donc les principales préoccupations des utilisateurs ? Si l'on se fie aux commentaires en ligne, certaines de ces inquiétudes incluent :
- Manque de confiance dans le gouvernement quant à l'utilisation responsable des données collectées
- Appréhension quant à la manière dont les données personnelles seront protégées contre les cyberattaques
- Manque de clarté quant à la nature des données qui sont réellement collectées, à l'endroit où elles sont stockées et à qui
- ... et pour les développeurs/geeks d'entre nous, la solidité des applications.
C'est toujours un peu inquiétant lorsque les applications sont créées rapidement et que ces applications de suivi des contacts doivent être déployées en un temps record. C'est un cauchemar pour les développeurs, les responsables de la sécurité et les agences gouvernementales.
Alors, la méfiance est-elle une réaction valable ? Et que devons-nous considérer comme une priorité dans notre évaluation des applications de recherche des contacts liés à la COVID-19 et de la sécurité des utilisateurs finaux ? En tant que responsable de la sécurité, mon instinct est, bien entendu, de me pencher sur les éléments de cybersécurité du programme, à savoir dans quelle mesure la base de code est sécurisée pour une application que nous sommes tous poussés (par bonne intention) à installer.
La plupart des applications sont des copies les unes des autres (et héritent des mêmes problèmes).
L'application COVIDSafe d'Australie est essentiellement basée sur Open Trace, tout comme le logiciel TraceTogether de Singapour. Le problème, cependant, est que TraceTogether a fait l'objet de toute une série de problèmes signalés et a été peu utilisé, 25 % seulement de la population ayant choisi de s'inscrire en tant qu'utilisateur, bien en deçà des 75 % sont nécessaires pour qu'il soit efficace. Il y a eu des plaintes concernant ses performances générales, notamment sur iOS, notamment le fait que les batteries se déchargent très rapidement. COVIDSafe dispose d'un faille UX potentielle dans sa version iOS, nécessitant le déverrouillage du téléphone et l'exécution de l'application au premier plan pour enregistrer correctement toutes les données.
Bien que les problèmes ci-dessus soient ennuyeux, la préoccupation la plus pressante est que les vulnérabilités Bluetooth sont monnaie courante et que ni TraceTogether, ni la société australienne COVIDSafe, n'y sont à l'abri. Le 14 mai, Le NIST a signalé que COVIDSafe présentait une vulnérabilité de déni de service, permettant à un attaquant de bloquer l'application à distance s'il se trouve à portée de main Bluetooth. Cela permettrait à une attaque organisée de perturber la recherche des contacts dans les zones densément peuplées, là où elle est la plus utile. expliqué en détail par le chercheur en sécurité Richard Nelson. Il est connu pour affecter COVIDsafe, TraceTogether, la société polonaise ProteGo et la société canadienne AbtraceTogether, héritant tous du problème de la faille d'OpenTrace Données manuelles. Sous-données appel.
Il existe également d'autres problèmes de confidentialité et de sécurité liés à la fonctionnalité Bluetooth en général. Le fait que cette technologie soit utilisée pour suivre les mouvements humains grâce à un identifiant unique (TempID) et collecter des données pertinentes suscitera inévitablement un intérêt accru pour les attaquants qui testent les points faibles, moment auquel exactement ce qui est collecté, où il est stocké et pendant combien de temps doit être examiné de près.
Certaines applications présentent déjà des signes d'erreurs simples qui entraînent des faiblesses complexes.
Ingénieur logiciel australien Geoffroy Huntley a étudié le code source de COVIDSafe et, malheureusement, certains problèmes ne sont pas nécessairement mis en évidence pour nous, les utilisateurs finaux.
Un exemple critique est une erreur logique de violation de la vie privée qui permettrait à un attaquant d'effectuer un suivi à long terme des appareils ; une situation qui présente un risque énorme pour les utilisateurs vulnérables, sans oublier qu'elle contrevient à la politique de confidentialité de l'application elle-même.
Il est important de noter que ces vulnérabilités logiques ont été corrigées le 14 mai, mais le problème le plus urgent est qu'elles n'ont pas été corrigées, dans la nature, pendant 17 jours après que M. Huntley l'ait signalée. Lui et d'autres membres de cette formidable communauté de sécurité suivent les CVE liés à l'application COVIDSafe. ici.
Une chose que Huntley souligne, après le patch, c'est que même le correctif montre des signes d'incompétence. Dans son public bûche, il note que le correctif impliquait d'ajouter de la logique plutôt que de simplement supprimer un cache défectueux, cette dernière solution étant bien plus efficace. Les deux fonctionnent, mais la solution en direct manque de finesse, ce qui est un problème avec une application aussi importante.
Bien que nous ayons des membres assidus de la société qui utilisent leur temps et leur expertise pour examiner le code source et mettre en évidence les problèmes, leur travail est beaucoup plus difficile que si le code était open source au départ. Dans l'état actuel des choses, 28 applications sont toujours fermés aux chercheurs en sécurité.
Le codage sécurisé continue de nous faire trébucher sur la ligne d'arrivée.
Bien que je puisse sympathiser avec les développeurs surchargés de travail, ainsi que pour la situation tout à fait inhabituelle de devoir créer une application vitale en pleine pandémie, ce qui précède devrait souligner que quelques vulnérabilités simples dans ce qui est essentiellement une base de code communautaire pourraient entraîner des problèmes importants pour des millions d'utilisateurs.
J'aimerais penser que la plupart des gens veulent être de bons citoyens, soutenir l'application et donner à chacun les meilleures chances possibles de rechercher les contacts et de contrôler les épidémies de cet horrible virus. Moi aussi, je suis favorable à la technologie qui peut aider à atteindre cet objectif, mais à bien des égards, cela a mis en lumière l'absence générale de principes de codage sécurisé inhérents aux développeurs du monde entier.
Dans toutes les situations où un logiciel doit être écrit rapidement, les erreurs ne sont pas vraiment inattendues. Cependant, les failles de sécurité courantes, telles que les failles logiques, les mauvaises configurations et les erreurs d'injection de code, devraient être évitées au fur et à mesure de l'écriture du code, et non une fois que des volontaires ont choisi la base de code à part.
Et ce n'est pas la faute des développeurs, d'ailleurs. Ils terminent leurs études supérieures avec peu de compétences en matière de codage sécurisé et, au cours de leur carrière, leurs indicateurs clés de performance sont presque toujours liés à la fonctionnalité des fonctionnalités et à la rapidité de diffusion. La partie sécurité est à gérer par quelqu'un d'autre une fois qu'ils ont terminé. Nous devons parvenir rapidement à un niveau de codage sécurisé, et même si ce n'est pas le moment de modifier radicalement la culture des départements qui créent ces applications, cela vient à point nommé pour nous rappeler que notre domaine du risque numérique est en pleine expansion et qu'ils sont en pole position pour faire la différence s'ils disposent des outils et des connaissances nécessaires pour partager la responsabilité en matière de meilleures pratiques de sécurité.
Le téléchargement de l'application est-il sécurisé ?
Voilà le truc : en tant que responsable de la sécurité, j'en suis venu à la conclusion que les avantages de l'application l'emportent sur les problèmes. Il n'est pas idéal que les vulnérabilités ci-dessus soient - ou aient été - présentes dans ce logiciel, mais les implications d'une militarisation de celles-ci sont les pires scénarios. À l'heure actuelle, la recherche des contacts est un élément essentiel pour aider nos héros médicaux du monde entier à contrôler la propagation, à endiguer le flux d'hospitalisations et à assurer la plus grande sécurité possible les uns des autres.
Cela permet de souligner que nous avons longue C'est la voie à suivre lorsqu'il s'agit de mettre en œuvre les meilleures pratiques de sécurité par défaut dans une version logicielle, et il est important que le public dispose des informations nécessaires pour prendre des décisions éclairées.
Ma famille et moi continuerons à l'utiliser, mais nous restons vigilants pour rester à jour avec nos correctifs Android, comme nous le devrions tous.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
