Depuis le début de la pandémie de Covid-19, de nombreuses applications mobiles de suivi du Covid-19 ont vu le jour. La plupart d’entre-elles ne sont plus disponibles sur les magasins d’applications de Apple et Google car suspectées de relayer de fausses informations. Aussi, en cette période de forte inquiétude, il est primordial de ne pas laisser la panique prendre le dessus sur les bonnes pratiques d’hygiène numérique et de vérification de l’information.
Préambule
Le magasin d’applications de Google ne retourne plus de résultats pour les recherches des termes coronavirus ou covid-19 (ce qui n’est pas le cas pour le magasin de Apple). Ainsi, il n’est pas aisé de trouver l’application Covidom de l’AP-HP. Les termes covi dom ou ap-hp ne permettent pas de trouver l’application sur Google Play. Malgré la suppression de ces applications et le blocage de certains termes de recherche sur Google Play, certaines de ces applications restent disponibles au téléchargement via d’autres sources. Parmi celles-ci se retrouvent des magasins applicatifs alternatifs. Ces magasins d’applications, que ni Google ni les éditeurs peuvent contrôler, peuvent distribuer des applications qui sont soit de simples copies soit des contrefaçons. Le contrôle de l’information sanitaire étant donc limité, les utilisateur·trices pourraient recevoir des informations erronées voir installer un malware sans le savoir.
En cette période où la diffusion d’informations est capitale, il est primordial, pour les acteurs de la santé comme pour le grand public, de rester vigilant quant aux utilisations des applications mobiles qui fleurissent en nombre en ce moment. Certaines d’entre-elles s’avèrent être particulièrement intrusives en terme de collecte de données, utilisent de nombreux pisteurs voire sont malveillantes.
Contrefaçon d'application
Les contrefaçons d'applications mobiles sont des applications Android ou iOS qui imitent l'apparence et / ou les fonctionnalités des applications légitimes pour inciter les utilisateurs à les installer. Une fois téléchargées et installées, les applications peuvent exécuter diverses actions malveillantes. Certaines contrefaçons sont conçues pour afficher de manière agressive des publicités afin de générer des revenus publicitaires, d'autres sont conçues pour récolter des informations d'identification, intercepter des données sensibles, détourner des revenus ou infecter des appareils.
Pisteur / tracker
Un pisteur est un "morceau" de logiciel en charge de collecter des informations sur la personne qui utilise une application, ou bien sur les usages ou l'environnement de cette personne. Un pisteur est très souvent distribué par une société sous la forme de SDK (Software Development Kit), une sorte de boîte à outils prête à l'emploi et destinée à faciliter la tâche des personnes développant des applications. Notons qu'il existe des pisteurs dits open source dont le code de ceux-ci est disponible et consultable par quiconque.
Recommandations
Privilégier les informations et recommandations officielles présentées sur le site du gouvernement français ainsi que sur le site du ministère de la santé.
N’installez pas d’applications provenant de sources autres que Google Play pour Android et l’App Store pour iOS.
Enfin, retrouvez les recommandations émises le 16/03/2020 par le site cybermalveillance.gouv.fr.
Pour les professionnels de santé
Il est impératif de s’assurer que les patients devant effectuer leur suivi via l’application Covidom disposent de consignes claires leur permettant de télécharger la version officielle de l’application et non une éventuelle contrefaçon trouvée sur un magasin alternatif.
Pour Android, l’application Covidom doit être téléchargée uniquement depuis Google Play. Attention, Covidom est déjà disponible sur de très nombreux sites non-officiels. À ce jour (16/03/2020), Defensive Lab Agency n’a détecté aucune contrefaçon de cette application.
| |
Pour iOS, l’application Covidom doit être téléchargée uniquement depuis l’app store de Apple.
| |
Pour les éditeurs de solutions numériques
Il est primordial de respecter les législations en vigueur en terme de collecte de données à caractère personnel et de collecte de données de santé ainsi que de veiller à l’usage des bonnes pratiques sécurité.
Voici quelques liens rapides vers les principales ressources :
- Le règlement général sur la protection des données sur le site de la CNIL
- Les lignes directrices du CEPD sur le site de la CNIL
- Le guide RGPD du développeur sur le site de la CNIL
- Le portail cybersécurité de la CNIL
- Applications mobiles en santé et protection des données personnelles - article de la CNIL
- Mobile Security Testing Guide de l’OWASP
Analyse rapide des applications disponibles sur Google Play
Les applications toujours disponibles
À l’heure de la rédaction de cet article, les applications suivantes de suivi du Covid-19 sont disponibles sur Google Play.
COVID-19 Tracker
| Package | com.healthlynked.hlvt | Permissions | 14 |
| Version | 2.2.3 | Trackers | 3 |
| SHA-1 | 1a5b86a8e5a17857ed58bde1128174efde10ab48 | Taille | 8.9 MB |
| UAID | C60D5A2C2E668CA8B85DFC4198119E90589AA3C5 |
Cette application est développée par la société américaine Health Lynked spécialisée dans l’édition de solutions numériques de consultations médicales à distance.
L’application embarque les pisteurs suivants :
- Google App Measurement
- Google Crashlytics
- Google Firebase Analytics
Elle est susceptible de collecter les informations suivantes :
- la géolocalisation
- l’identifiant publicitaire
Identifiant publicitaire
IDFA et AID sont respectivement les noms donnés aux identifiants publicitaires uniques associés au smartphone : IDFA (IDentifier For Advertisers dans le cas d'iOS) et AID (Advertising ID dans le cas d'Android). Nous pouvons faire l'analogie entre un identifiant publicitaire mobile et un cookie publicitaire posé par un site web : les deux servent à "mémoriser" nos préférences et à dresser un profil plus précis de nos comportements de consommation et d'intérêts. Cependant, cette analogie est plutôt imprécise : un cookie web a une durée de vie plutôt réduite, contrairement à un identifiant publicitaire mobile lequel ne change que si l'utilisateur·trice décide de le modifier.
Covidom
| Package | fr.aphp.covidom | Permissions | 7 |
| Version | 1.5.20 | Trackers | 2 |
| SHA-1 | 5251efc3123c616ed1fe60d46cfeb33bfadbeb21 | Taille | 3.9 MB |
| UAID | EBA5702E748C2D1C10D942F8400D2F81AC168806 |
Cette application de suivi médical à distance est développée par la société française Nouveal e-santé spécialisée dans l’édition de solutions numériques de gestion de parcours de soin.
L’application embarque les pisteurs suivants :
- Google App Measurement
- Google Firebase Analytics
Et utilise plusieurs API web de Google dont les serveurs sont hébergés aux États-Unis.
Coronavírus-SUS
| Package | br.gov.datasus.guardioes | Permissions | 9 |
| Version | 1.0.4 | Trackers | 3 |
| SHA-1 | 78c827a54b4704ce5b823cd0fd72b6e38137ea1f | Taille | 9.7 MB |
| UAID | C1840CBCBCCB19D28EC262D2985FE6E2A2620075 |
Cette application d’information sur le Covid-19 est développée par le Ministerio da Saude (ministère de la santé brésilien).
L’application embarque les pisteurs suivants :
- Google App Measurement
- Google Analytics
- Google Tag Manager
Elle est susceptible de collecter les informations suivantes :
- l’identifiant publicitaire
Ada
| Package | com.ada.app | Permissions | 6 |
| Version | 1.0.4 | Trackers | 4 |
| SHA-1 | b4e8df6ba56f648a6107a7a327253eb7e9f1f526 | Taille | 7.9 MB |
| UAID | FFF3A7512CD4D5D4EFEB0CACC0F132D739BFD5D9 |
Cette application est développée par la société allemande Ada Health spécialisée dans l’édition de solutions numériques de santé personnalisée.
L’application embarque les pisteurs suivants :
- Adjust
- Facebook Analytics
- Facebook Login
- Facebook Share
Elle est susceptible de collecter les informations suivantes :
- la liste des contacts
- la géolocalisation
- les adresses IP et MAC du mobile
- le numéro de téléphone
- le nom de l’opérateur téléphonique
L’utilisation des SDK de Facebook représente un risque potentiel pour la vie privée des utilisateurs.
Les applications recommandées par Google
Google a également publié une liste d’applications de santé recommandées pour “faire face au coronavirus” sur le site de Google Play.
| Nom | Package | Éditeur | Pays | Téléchargements |
|---|---|---|---|---|
| Livi | health.livi.android | KRY International | SE | 100000+ |
| CDC | gov.cdc.general | U.S. Department of Health | USA | 100000+ |
Livi
| Package | health.livi.android | Permissions | 19 |
| Version | 3.10.0 | Trackers | 7 |
| SHA-1 | 114ba767e5d53fd8ff5c1ceeb7f5682af837971d | Taille | 13.7 MB |
| UAID | 4CC8FF200119804CABE0E7E5369F067DED1F1DA0 |
Cette application de consultation médicale à distance est développée par la société suédoise Webbhaelsa AB spécialisée dans l’édition de solutions numériques de consultations médicales à distance.
L’application embarque les pisteurs suivants :
- Adjust
- Amazon Analytics
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- Snowplow
Elle est susceptible de collecter les informations suivantes :
- la liste des applications installées
- l’identifiant publicitaire
- les IMEI et IMSI du mobile
- la géolocalisation
- le numéro de téléphone
- le numéro de série de la carte SIM
- les adresses IP et MAC du mobile
- le nom de l’opérateur téléphonique
La collecte d’identifiants uniques comme l’IMEI et l’IMSI représente un risque certain pour la vie privée des utilisateurs car permettent d’identifier directement une personne.
CDC
| Package | gov.cdc.general | Permissions | 26 |
| Version | 2.6.7 | Trackers | 5 |
| SHA-1 | b53c9e970bfd1e4810aee5c2c2ae6ecc40cd7a38 | Taille | 21.5 MB |
| UAID | 5050C4AD1D5A9C5EF0055587260AD8E7C81CF5C5 |
Cette application d’information médicale à distance est développée par le CDC américain.
L’application embarque les pisteurs suivants :
- Demdex
- Google Firebase Analytics
- Pushwoosh
- Omniture
- HockeyApp
Elle est susceptible de collecter les informations suivantes :
- la liste des applications installées
- l’identifiant publicitaire
- l’IMEI du mobile
- le nom de l’opérateur téléphonique
Conclusion
L’utilisation des technologies mobiles dans le domaine de la santé est en plein essor et cette approche permet l’émergence de nouveaux services permettant, dans le cas présent, de délester les hôpitaux. Il est important de prendre en considération les enjeux de la sécurisation des données de santé. L’analyse rapide de ces 6 applications montre que trois de ces applications sont susceptibles de collecter des données à caractère personnel par le biais de services tiers (Facebook, Adjust, …) pour des fins potentiellement autres que les services pour lesquelles ces applications sont conçues.
Pour rappel, l’utilisation de SDK tiers dans les applications mobiles représente un risque important de collecte de données non maîtrisée comme Defensive Lab Agency a pu le montrer lors de ses analyses pour le Wall Street Journal début 2019.