Les applications mobiles de suivi du Covid-19


Mobile Applications Covid 19

Depuis le début de la pandémie de Covid-19, de nombreuses applications mobiles de suivi du Covid-19 ont vu le jour. La plupart d’entre-elles ne sont plus disponibles sur les magasins d’applications de Apple et Google car suspectées de relayer de fausses informations. Aussi, en cette période de forte inquiétude, il est primordial de ne pas laisser la panique prendre le dessus sur les bonnes pratiques d’hygiène numérique et de vérification de l’information.

Préambule

Le magasin d’applications de Google ne retourne plus de résultats pour les recherches des termes coronavirus ou covid-19 (ce qui n’est pas le cas pour le magasin de Apple). Ainsi, il n’est pas aisé de trouver l’application Covidom de l’AP-HP. Les termes covi dom ou ap-hp ne permettent pas de trouver l’application sur Google Play. Malgré la suppression de ces applications et le blocage de certains termes de recherche sur Google Play, certaines de ces applications restent disponibles au téléchargement via d’autres sources. Parmi celles-ci se retrouvent des magasins applicatifs alternatifs. Ces magasins d’applications, que ni Google ni les éditeurs peuvent contrôler, peuvent distribuer des applications qui sont soit de simples copies soit des contrefaçons. Le contrôle de l’information sanitaire étant donc limité, les utilisateur·trices pourraient recevoir des informations erronées voir installer un malware sans le savoir.

En cette période où la diffusion d’informations est capitale, il est primordial, pour les acteurs de la santé comme pour le grand public, de rester vigilant quant aux utilisations des applications mobiles qui fleurissent en nombre en ce moment. Certaines d’entre-elles s’avèrent être particulièrement intrusives en terme de collecte de données, utilisent de nombreux pisteurs voire sont malveillantes.

Contrefaçon d'application

Les contrefaçons d'applications mobiles sont des applications Android ou iOS qui imitent l'apparence et / ou les fonctionnalités des applications légitimes pour inciter les utilisateurs à les installer. Une fois téléchargées et installées, les applications peuvent exécuter diverses actions malveillantes. Certaines contrefaçons sont conçues pour afficher de manière agressive des publicités afin de générer des revenus publicitaires, d'autres sont conçues pour récolter des informations d'identification, intercepter des données sensibles, détourner des revenus ou infecter des appareils.

Pisteur / tracker

Un pisteur est un "morceau" de logiciel en charge de collecter des informations sur la personne qui utilise une application, ou bien sur les usages ou l'environnement de cette personne. Un pisteur est très souvent distribué par une société sous la forme de SDK (Software Development Kit), une sorte de boîte à outils prête à l'emploi et destinée à faciliter la tâche des personnes développant des applications. Notons qu'il existe des pisteurs dits open source dont le code de ceux-ci est disponible et consultable par quiconque.

Recommandations

Privilégier les informations et recommandations officielles présentées sur le site du gouvernement français ainsi que sur le site du ministère de la santé.

N’installez pas d’applications provenant de sources autres que Google Play pour Android et l’App Store pour iOS.

Enfin, retrouvez les recommandations émises le 16/03/2020 par le site cybermalveillance.gouv.fr.

Pour les professionnels de santé

Il est impératif de s’assurer que les patients devant effectuer leur suivi via l’application Covidom disposent de consignes claires leur permettant de télécharger la version officielle de l’application et non une éventuelle contrefaçon trouvée sur un magasin alternatif.

Pour Android, l’application Covidom doit être téléchargée uniquement depuis Google Play. Attention, Covidom est déjà disponible sur de très nombreux sites non-officiels. À ce jour (16/03/2020), Defensive Lab Agency n’a détecté aucune contrefaçon de cette application.

https://play.google.com/store/apps/details?id=fr.aphp.covidom

Pour iOS, l’application Covidom doit être téléchargée uniquement depuis l’app store de Apple.

https://apps.apple.com/app/covidom/id1501889139

Pour les éditeurs de solutions numériques

Il est primordial de respecter les législations en vigueur en terme de collecte de données à caractère personnel et de collecte de données de santé ainsi que de veiller à l’usage des bonnes pratiques sécurité.

Voici quelques liens rapides vers les principales ressources :

Analyse rapide des applications disponibles sur Google Play

Les applications toujours disponibles

À l’heure de la rédaction de cet article, les applications suivantes de suivi du Covid-19 sont disponibles sur Google Play.

Nom Package Éditeur Pays Téléchargements
COVID-19 Tracker com.healthlynked.hlvt HealthLynked Corp US 10000+
Covidom fr.aphp.covidom AP-HP FR 1000+
Coronavírus-SUS br.gov.datasus.guardioes Ministerio da Saude BR 100000+
Ada com.ada.app Ada Health DE 5000000+

COVID-19 Tracker

Package com.healthlynked.hlvt Permissions 14
Version 2.2.3 Trackers 3
SHA-1 1a5b86a8e5a17857ed58bde1128174efde10ab48 Taille 8.9 MB
UAID C60D5A2C2E668CA8B85DFC4198119E90589AA3C5

Cette application est développée par la société américaine Health Lynked spécialisée dans l’édition de solutions numériques de consultations médicales à distance.

L’application embarque les pisteurs suivants :

  • Google App Measurement
  • Google Crashlytics
  • Google Firebase Analytics

Elle est susceptible de collecter les informations suivantes :

  • la géolocalisation
  • l’identifiant publicitaire
Identifiant publicitaire

IDFA et AID sont respectivement les noms donnés aux identifiants publicitaires uniques associés au smartphone : IDFA (IDentifier For Advertisers dans le cas d'iOS) et AID (Advertising ID dans le cas d'Android). Nous pouvons faire l'analogie entre un identifiant publicitaire mobile et un cookie publicitaire posé par un site web : les deux servent à "mémoriser" nos préférences et à dresser un profil plus précis de nos comportements de consommation et d'intérêts. Cependant, cette analogie est plutôt imprécise : un cookie web a une durée de vie plutôt réduite, contrairement à un identifiant publicitaire mobile lequel ne change que si l'utilisateur·trice décide de le modifier.


Covidom

Package fr.aphp.covidom Permissions 7
Version 1.5.20 Trackers 2
SHA-1 5251efc3123c616ed1fe60d46cfeb33bfadbeb21 Taille 3.9 MB
UAID EBA5702E748C2D1C10D942F8400D2F81AC168806

Cette application de suivi médical à distance est développée par la société française Nouveal e-santé spécialisée dans l’édition de solutions numériques de gestion de parcours de soin.

L’application embarque les pisteurs suivants :

  • Google App Measurement
  • Google Firebase Analytics

Et utilise plusieurs API web de Google dont les serveurs sont hébergés aux États-Unis.


Coronavírus-SUS

Package br.gov.datasus.guardioes Permissions 9
Version 1.0.4 Trackers 3
SHA-1 78c827a54b4704ce5b823cd0fd72b6e38137ea1f Taille 9.7 MB
UAID C1840CBCBCCB19D28EC262D2985FE6E2A2620075

Cette application d’information sur le Covid-19 est développée par le Ministerio da Saude (ministère de la santé brésilien).

L’application embarque les pisteurs suivants :

  • Google App Measurement
  • Google Analytics
  • Google Tag Manager

Elle est susceptible de collecter les informations suivantes :

  • l’identifiant publicitaire

Ada

Package com.ada.app Permissions 6
Version 1.0.4 Trackers 4
SHA-1 b4e8df6ba56f648a6107a7a327253eb7e9f1f526 Taille 7.9 MB
UAID FFF3A7512CD4D5D4EFEB0CACC0F132D739BFD5D9

Cette application est développée par la société allemande Ada Health spécialisée dans l’édition de solutions numériques de santé personnalisée.

L’application embarque les pisteurs suivants :

  • Adjust
  • Facebook Analytics
  • Facebook Login
  • Facebook Share

Elle est susceptible de collecter les informations suivantes :

  • la liste des contacts
  • la géolocalisation
  • les adresses IP et MAC du mobile
  • le numéro de téléphone
  • le nom de l’opérateur téléphonique

L’utilisation des SDK de Facebook représente un risque potentiel pour la vie privée des utilisateurs.

Les applications recommandées par Google

Google a également publié une liste d’applications de santé recommandées pour “faire face au coronavirus” sur le site de Google Play.

Nom Package Éditeur Pays Téléchargements
Livi health.livi.android KRY International SE 100000+
CDC gov.cdc.general U.S. Department of Health USA 100000+

Livi

Package health.livi.android Permissions 19
Version 3.10.0 Trackers 7
SHA-1 114ba767e5d53fd8ff5c1ceeb7f5682af837971d Taille 13.7 MB
UAID 4CC8FF200119804CABE0E7E5369F067DED1F1DA0

Cette application de consultation médicale à distance est développée par la société suédoise Webbhaelsa AB spécialisée dans l’édition de solutions numériques de consultations médicales à distance.

L’application embarque les pisteurs suivants :

  • Adjust
  • Amazon Analytics
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Google Tag Manager
  • Snowplow

Elle est susceptible de collecter les informations suivantes :

  • la liste des applications installées
  • l’identifiant publicitaire
  • les IMEI et IMSI du mobile
  • la géolocalisation
  • le numéro de téléphone
  • le numéro de série de la carte SIM
  • les adresses IP et MAC du mobile
  • le nom de l’opérateur téléphonique

La collecte d’identifiants uniques comme l’IMEI et l’IMSI représente un risque certain pour la vie privée des utilisateurs car permettent d’identifier directement une personne.


CDC

Package gov.cdc.general Permissions 26
Version 2.6.7 Trackers 5
SHA-1 b53c9e970bfd1e4810aee5c2c2ae6ecc40cd7a38 Taille 21.5 MB
UAID 5050C4AD1D5A9C5EF0055587260AD8E7C81CF5C5

Cette application d’information médicale à distance est développée par le CDC américain.

L’application embarque les pisteurs suivants :

  • Demdex
  • Google Firebase Analytics
  • Pushwoosh
  • Omniture
  • HockeyApp

Elle est susceptible de collecter les informations suivantes :

  • la liste des applications installées
  • l’identifiant publicitaire
  • l’IMEI du mobile
  • le nom de l’opérateur téléphonique

Conclusion

L’utilisation des technologies mobiles dans le domaine de la santé est en plein essor et cette approche permet l’émergence de nouveaux services permettant, dans le cas présent, de délester les hôpitaux. Il est important de prendre en considération les enjeux de la sécurisation des données de santé. L’analyse rapide de ces 6 applications montre que trois de ces applications sont susceptibles de collecter des données à caractère personnel par le biais de services tiers (Facebook, Adjust, …) pour des fins potentiellement autres que les services pour lesquelles ces applications sont conçues.

Pour rappel, l’utilisation de SDK tiers dans les applications mobiles représente un risque important de collecte de données non maîtrisée comme Defensive Lab Agency a pu le montrer lors de ses analyses pour le Wall Street Journal début 2019.