Un test a permis de détecter des failles dans le certificat Covid suisse

Le Centre national pour la cybersécurité (NCSC) a publié jeudi sur son site un bilan de ce test, en cours depuis fin mai. Il est ouvert aux professionnels et à toutes les personnes intéressées, qui ont eu accès au code source du certificat.

Le NCSC diffuse une liste de 136 défauts identifiés durant l'exercice. Il précise qu'un certain nombre de lacunes "critiques", toujours en cours d'analyse, ne sont pas publiées pour l'instant pour des raisons de sécurité. Un rapport sera en outre dévoilé prochainement par l’Institut national de test pour la cybersécurité (NTC).

Des failles liées aux exigences des autorités

Selon la liste publiée, une quarantaine de failles ont déjà été réglées. Une solution est en cours d'élaborations pour une cinquantaine d'autres problèmes.

Certaines failles sont par ailleurs reconnues mais seront laissées telles quelles, car elles sont dues à des exigences expresses des autorités suisses ou européennes, souligne le NCSC. Enfin, un certain nombre de points soulevés ne sont pas des bugs mais le résultat d'une mauvaise appréciation de la personne à l'origine du signalement.

Divers systèmes et services auscultés

Le test a notamment visé les systèmes générant le certificat (avec les signatures cryptographiques), les services permettant la vérification décentralisée hors ligne et la détection des certificats révoqués.

Il a aussi concerné les services de communication permettant de vérifier l'authenticité du document (notamment dans le cadre du certificat européen), ainsi que les applications mobiles (aussi bien celle permettant à l'usager de sauvegarder son certificat sur son téléphone portable que celle prévue pour la vérification de l'authenticité).

>> Interview de Stéphane Koch, expert en stratégie numérique et sécurité de l'information, dans Forum :

ats/oang