Résultats des tests de sécurité du certificat COVID

22.07.2021 - Soucieux de vérifier la sécurité du certificat COVID, le NCSC a effectué plusieurs tests, dont un test public de sécurité. Dans un rapport qui vient d'être publié, il donne un aperçu des failles qui lui ont été signalées jusqu'à présent. Le test public de sécurité est encore en cours.

Depuis le 7 juin 2021, des certificats COVID sont établis en Suisse. Une phase préalable avait consisté à mener différents tests internes et publics, qui visaient à soumettre à un examen approfondi les fonctionnalités, l'utilisation et la sécurité du système dans son ensemble.

Les tests internes ont été réalisés avant et pendant l'introduction du certificat COVID par plusieurs instances, dont l'Office fédéral de l'informatique et de la télécommunication (OFIT) et l'Institut national de test pour la cybersécurité, avec l'appui du NCSC.

Depuis le 31 mai 2021, le système est mis à l'épreuve par d'autres professionnels et des personnes intéressées dans le cadre d'un test public de sécurité (ou Public Security Test en anglais).

La phase d'introduction du certificat COVID est aujourd'hui achevée, et tout fonctionne normalement. Dans un rapport, le NCSC donne un aperçu des failles qui lui ont été signalées jusqu'à présent. Le test public de sécurité se poursuit; toute faille encore inconnue qui serait découverte peut être signalée au NCSC à l'adresse suivante:

Qu'est-ce qui a été testé?

• Les systèmes et leurs composantes qui réceptionnent les demandes d'établissement et de signature de certificats COVID provenant des émetteurs de certificats, génèrent les signatures cryptographiques et envoient aux émetteurs les certificats établis.
  
  
• Les services qui mettent à disposition les clés publiques des certificats fiables, permettant ainsi la vérification décentralisée hors ligne et la détection des certificats révoqués.
  
  
• Les systèmes de communication permettant l'échange avec les systèmes tiers correspondants des informations nécessaires pour vérifier l'authenticité, l'intégrité et la validité des signatures électroniques apposées sur les certificats COVID, tout particulièrement dans le cadre du certificat COVID numérique de l'Union européenne.
  
  
• Les applications mobiles (y. c. les back-ends de configuration) qui sont mises à la disposition des titulaires d'un certificat COVID pour leur permettre de le sauvegarder sur leur téléphone portable.
  
  
• Les applications mobiles (y. c. les back-ends de configuration) qui permettent de vérifier électroniquement l'authenticité, l'intégrité et la validité des certificats COVID.

Combien de failles ont été signalées?

À ce jour, la phase la plus intensive des tests de sécurité a livré 136 failles.

Celles-ci ont été classées dans les catégories suivantes:

• ongoing: la faille de sécurité est analysée et une solution au problème est en cours d'élaboration;
  
  
• fixed: la faille de sécurité a été détectée et le problème a été corrigé;
  
  
• wontfix: la faille est reconnue comme telle, mais il n'y a pas besoin d'apporter de quelconques modifications, car la situation fait suite à des exigences nationales ou européennes expresses;
  
  
• false positive: ce qui a été signalé n'est que le résultat d'une mauvaise appréciation de la part de l'auteur du signalement.

Bilan tiré des failles signalées

• Nombre de failles signalées
  Le projet conçu et réalisé par l'OFIT est d'une grande complexité sur les plans technique et organisationnel. Le nombre de failles signalées (136) est donc à considérer comme normal compte tenu de la quantité d'infrastructures et de codes testés.
  
  
• Qualité des tests réalisés et intérêt des failles signalées
  Tant le test public que les tests internes ont été menés avec une grande précision et ont livré de très bons résultats. Les participants au test public de sécurité en particulier ont consacré beaucoup de temps et de ressources au signalement de failles de sécurité, ce dont la population tout entière ressort gagnante.
  
  
• Transparence
  Le NCSC a rendu publiques à intervalles réguliers sur son site Web les failles qui lui avaient été signalées, la transparence s'imposant pour lui également dans le cadre du test public de sécurité du certificat COVID.