COVID-19 Vac-Check - Code source et signalement des vulnérabilités

Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die Funktionsweise und die Sicherheit des Schweizerischen Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open Source und es wird ein öffentlicher Sicherheitstest durchgeführt.
Der Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC) geleitet und hat den Anspruch auf volle Transparenz. Meldungen von Testergebnissen erfolgen auf der Webseite des NCSC und können dort detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind auf der Webseite des NCSC öffentlich einsehbar und werden regelmässig aktualisiert.Das Ziel
des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und
Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die
Funktionsweise und die Sicherheit des Schweizerischen
Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem
Grund sind alle Komponenten Open Source und es wird ein öffentlicher
Sicherheitstest durchgeführt.
Der
Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die Funktionsweise und die Sicherheit des Schweizerischen Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open Source und es wird ein öffentlicher Sicherheitstest durchgeführt.Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC)
geleitet und hat den Anspruch auf volle Transparenz. Meldungen von
Testergebnissen erfolgen auf der Webseite des NCSC und können dort
detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen
entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer
Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind
auf der Webseite des NCSC öffentlich einsehbar und
werden regelmässig aktualisiert.
 

La Confédération veut rendre le fonctionnement et la sécurité de COVID-19 Vac-Check aussi transparents que possible. Pour cette raison, le Priority Engine de COVID-19 Vac-Check est rendu open source et les chercheurs en sécurité ont la possibilité de rapporter leurs résultats. Le Priority Engine détermine si un citoyen est éligible pour une vaccination COVID-19 sur la base des réponses fournies par le citoyen et d'un ensemble de règles spécifiques au canton. Cet ensemble de règles contient des règles pour la primo-vaccination ainsi que pour la vaccination de rappel.

Un test d'intrusion ainsi qu'une revue externe du code ont été effectués précédemment sans qu'aucune vulnérabilité de sécurité n'ait été détectée. 

Le Centre national de cybersécurité (NCSC) propose un formulaire permettant de signaler les éventuelles vulnérabilités. Les résultats des tests doivent être communiqués via le site web du NCSC, où un formulaire permet de saisir des informations détaillées: 

https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html

Le NCSC reçoit ces rapports, évalue leur contenu, les classe par ordre de priorité en fonction de leur criticité et, le cas échéant, organise des corrections. Les retours d'information existants sont accessibles au public sur le site web du NCSC et sont régulièrement mis à jour.

Scope and Rules (only in english)

Testing policy

  • The Swiss Confederation provides a COVID-19 Vac-Check dedicated to support citizens in their decision to get vaccinated.
  • Participants who have found or believe they have found a vulnerability are asked to submit a report via following NCSC Website.

Scope of the test

  • You will find the documentation related to the COVID-19 Vac-Check system in Switzerland on Github: https://github.com/soignezmoich/vac-engine
  • In-scope is only the provided code of the Priority Engine contained in the respective GitHub repository. If you are unsure, then please stop your activity and ask NCSC first.
  • Attacks and scans that can harm other operations and services of the Swiss Confederation and involved parties are therefore strictly forbidden. If you are unsure, then please stop your activity and ask NCSC first.

Out-of-scope

Everything that is not defined as in-scope is out-of-scope by default. In particular, the following items are out-of-scope:

  • All attacks that fall in the broad denial of service (DDoS) and resource starvation categories.
  • Social engineering, phishing or malware attacks on operators or employees of the Swiss Confederation, the Cantons and involved parties.
  • Physical attacks on people, buildings and devices.
  • Attacks on the (GitHub) code repositories or the report submission website of NCSC
  • Lateral movements after a compromise of a system.

If you are unsure, then please ask NCSC first.

Dernière modification 03.01.2022

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/dokumentation/covid19-vac-check/infos.html