Broken-by-Design/posts/attestation-covid.md

18 KiB

title slug authors description date type draft categories tags lang
Attestation COVID-19 en ligne : un outil de surveillance globale sur Internet ? attestation-covid-19
Florian Maury
Piotr Chmielnicki
Risques et recommandations relatives à l'application d'émission d'attestation de déplacements dérogatoires COVID-19 du Ministère de l'Intérieur 2020-11-25T22:00:00+00:00 posts false
web
web
localStorage
SOP
fr

Cet article est sous licence CC-BY-NC-ND.

Les auteurs de cet article peuvent être contactés sur :

Synthèse non-technique

Le Ministère de l'Intérieur, par l'intermédiaire du site permettant la génération d'attestations de déplacement dérogatoire COVID-19, est en mesure d'assurer un pistage nominatif des citoyens, en usant de procédés comparables à ceux qu'emploient les régies publicitaires et d'autres spécifiques aux services de renseignement. Il est impossible de prouver qu'ils ne le font ou ne le feront pas. Les auteurs de cet article ne détiennent pas, à ce jour, de preuve non plus qu'ils le font ou l'on fait. Cet article expose un risque et propose des contremesures. Les observations de cet article restent valables même après le 15 décembre 2020, lorsque les attestations ne seront potentiellement plus obligatoires, à cause de la persistence infinie des données de pistage.

Il n'existe pas de contremesure technique à certaines des méthodes de pistage évoquées dans cet article. Selon le principe de précaution, il est recommandé aux citoyens d'éviter le risque en ne faisant pas usage de la fonctionnalité "Mon téléphone se souvient de moi", ou en privilégiant les attestations au format papier. Si un citoyen a déjà utilisé la fonctionnalité "Mon téléphone se souvient de moi", il est recommandé qu'il efface son historique de navigation, y compris les données mémorisées par le site web https://media.interieur.gouv.fr.

Il est recommandé au Ministère de l'Intérieur de modifier le site web de génération des attestations de déplacement COVID-19 afin :

  • de supprimer la fonctionnalité "Mon téléphone se souvient de moi" ; 

  • d'automatiser l'effacement des données mémorisées précedemment ;

  • d'héberger l'application sur une autre adresse que https://media.interieur.gouv.fr ;

  • dans le cas d'un maintien de la fonctionnalité de mémorisation, de supprimer la couche de chiffrement qui ne sert à rien d'autre qu'à induire un faux sentiment de sécurité ;

  • de renforcer la sécurité de son site web (détail technique plus bas).

Une voie alternative pour le Ministère de l'Intérieur serait de fournir une application mobile en sources ouvertes dédiée à la génération d'attestations. TousAntiCovid ne répond pas à ce besoin, car elle effectue de nombreuses autres missions nécessitant des droits supplémentaires sur le téléphone.

Présentation succincte de l'application d'émission d'attestation

Pour le second confinement de 2020, le Ministère de l'Intérieur a publié une application en ligne pour l'émission d'attestation de déplacement dérogatoire COVID-19 à l'adresse : https://media.interieur.gouv.fr/deplacement-covid-19/

Cette application a subi notamment une mise à jour afin de permettre de mémoriser les informations saisies dans le formulaire, afin d'éviter d'avoir à retaper tous les renseignements à chaque nouvelle visite. Ce mécanisme est au coeur des risques évoqués dans cet article.

L'application fonctionne à l'aide d'un formulaire dans lequel les citoyens saississent leurs informations d'état civil, ainsi que le motif de sortie, et la date et heure. Lors du clic sur le bouton de génération, un fichier PDF est téléchargé. Ce fichier est un formulaire vierge. Il est completé par le navigateur (et le code téléchargé depuis le site du Ministère) grâce aux informations fournies dans le formulaire. Si la case "mon téléphone se souvient de moi" est cochée, alors les informations saisies dans le formulaire sont enregistrées dans le navigateur, grâce à la fonctionnalité localStorage. Elles ne sont pas transmises au Ministère lors de cette opération.

Lors du rechargement de la page, le localStorage est consulté afin d'auto-compléter le formulaire.

Les informations sont stockées sous une forme de document JSON chiffré à l'aide secure-ls. Secure-ls est un module Javascript permettant de chiffrer les données dans le localStorage afin d'en éviter le vol. Outre le fait que les algorithmes cryptographiques déployés par secure-ls sont pour la plupart obsolètes (MD5, SHA-1, 3DES, PBKDF2, RC4...), et que l'implémentation contienne des versions Javascript de ces algorithmes alors qu'il existe WebCrypto, le problème de l'implémentation du Ministère de l'Intérieur est le suivant : le secret permettant de chiffrer et de déchiffrer les informations dans le localStorage est hardcodé dans le code source de la page. Le voici :

s3cr3t$#@135^&*246

Autant dire que cette couche de chiffrement ne sert strictement à rien, et n'est là que pour donner une fausse impression de sécurité... ou pour cacher ce que contient le localStorage aux yeux des curieux.

Il se trouve que le localStorage ne contient rien de bien excitant : une entrée _secure__ls__metadata qui contient un document JSON listant les autres entrées "sécurisées" du localStorage et leurs clés de chiffrement :

{"keys":[{"k":"profile","s":"7bebe7af384395d2ec6d383ac5380c4f"}]}

La clé "profile" contient l'état civil et des informations étrangement redondantes :

{
  "firstname": "Camille",
  "lastname": "Dupont",
  "birthday": "01/01/1970",
  "placeofbirth": "Paris",
  "address": "999 avenue de France",
  "city": "Paris",
  "zipcode": "75001",
  "datesortie": "24/11/2020",
  "heuresortie": "18:00",
  "ox-travail": "travail",
  "ox-achats": "achats",
  "ox-sante": "sante",
  "ox-famille": "famille",
  "ox-handicap": "handicap",
  "ox-sport_animaux": "sport_animaux",
  "ox-convocation": "convocation",
  "ox-missions": "missions",
  "ox-enfants": "enfants"
}

À première vue, l'application semble légitime et conforme à sa mission, faire de son mieux pour que les données ne fuitent pas vers le Ministère de l'Intérieur, et même ce qui semble "caché" sous du chiffrement médiocre est en fait sans surprise ni risque.

Quel est donc le problème décrit par cet article ?

Isolation des sites web

Le web est un milieu dangereux ; s'y cotoient de nombreuses applications web (autrefois appelées sites, mais le terme de site web semble bien réducteur, compte tenu de la quantité de code que chaque site fait exécuter à un navigateur ; ce sont bien des applications à part entière), d'origines diverses et d'innocuité variable. Il est possible de consulter simultanément votre situation fiscale et Facebook, et il serait un scandale si Facebook pouvait décortiquer vos sources de revenus, ou si le site des Impôts pouvait analyser votre graph social.

Pour parrer à ce type de porosité, très tôt dans l'histoire du Web, une politique de sécurité appelée Same Origin Policy (SOP) a été introduite. Cette politique est automatiquement appliquée par tous les navigateurs web. Son principe est l'isolation des applications web en fonction du schéma/protocole (http ou https), du nom de domaine et du numéro de port depuis lequel elles ont été téléchargées. Ainsi http://example.com, http://exemple.net, http://broken-by-design.fr, https://broken-by-design.fr, https://www.broken-by-design.fr et https://www.broken-by-design.fr:8080 sont toutes des applications séparées.

Des applications web isolées par la SOP ne peuvent ni consulter ce qui est affiché par une autre application, ni consulter leurs localStorage respectifs.

Il est ainsi impossible pour Facebook de consulter l'état civil stocké par l'application de génération des attestations COVID-19, par exemple.

Techniques de pistage des utilisateurs

Les techniques de pistage des utilisateurs sont très nombreuses. Parmi ces dernières, les cookies sont un outil redoutable. 

Visiter un site A, puis visiter un site B. Les deux sites utilisent les services d'un troisième site, C. Le site B peut alors afficher des publicités en rapport avec la visite du site A. Cela est rendu possible, car C a obtenu des informations sur la navigation de l'utilisateur lors de son passage sur le site A, et a utilisé des cookies pour en prendre note. Lors de la visite sur le site B, les cookies déposés lors de la visite du site A sont automatiquement envoyés à C, et C peut agit en conséquence en proposant de la publicité personnalisée.

Les cookies ne sont qu'un des nombreux moyens à la disposition des régies publicitaires. Ils sont les plus pratiques car les cookies usent d'une politique de sécurité moins forte que la Same Origin Policy discutée précedemment. Mais il est possible de faire virtuellement la même chose avec localStorage, l'outil de stockage également employé par le site de génération des attestations COVID-19 du Ministère de l'Intérieur. Le localStorage est légèrement plus sécurisé (c'est-à-dire moins pratique pour les régies), mais il a le mérite d'avoir une durée de vie potentiellement illimitée, et de passer un peu plus sous le radar juridique.

Pistage des citoyens

Les lecteurs les plus perspicaces auront déjà fait 1 + 1. 

Le citoyen soucieux de ne pas être sanctionné en cas d'absence d'attestation de déplacements dérogatoires COVID-19 voudra générer ses attestations quotidiennes le plus facilement et rapidement possible. Il va donc utiliser l'application web du Ministère de l'Intérieur sur son téléphone portable, et mémoriser ses informations. Ce faisant, il aura stocké son état civil durablement dans le localStorage associé à https://media.interieur.gouv.fr/.

Ce même utilisateur pourra ensuite continuer de naviguer sur ses sites habituels. Tout site contenant une sous-page (iframe) téléchargée depuis https://media.interieur.gouv.fr, qu'elle soit visible ou non, permettra potentiellement au Ministère de l'Intérieur d'associer cette visite à un état civil. Il s'agit d'un pistage nominatif, et non plus d'un pistage sur la base de pseudonymes (comme des identifiants numériques arbitraires ou des adresses IP).

Mettons que l'on veuille préremplir un formulaire sur service-public.fr ; il suffit d'inclure une sous-page téléchargée depuis https://media.interieur.gouv.fr et boom : service-public.fr peut collaborer avec media.interieur.gouv.fr pour obtenir les informations d'état civil ! (Par exemple, avec une technique d'affaiblissement de la SOP nommée message passing, qui permet à des onglets de communiquer entre eux par messages.)

Mettons que l'on veuille identifier les bons citoyens qui se rendent régulièrement sur le site gouvernement.fr : boom, même technique.

Mettons qu'un service de renseignement peu scrupuleux des limites du droit français souhaite identifier les utilisateurs d'un site peu recommandable. Plusieurs options sont à sa disposition.

La première possibilité serait l'exploitation d'une vulnérabilité de XSS (Cross Site Scripting) qui serait présente sur ce site. Cette vulnérabilité permet d'ajouter du code illégitime dans une page d'un site web. Les XSS font partie des vulnérabilités les plus communes du web ; cela ne semble donc pas improbable. Grâce à cette faille, il est possible d'ajouter une sous-page de https://media.interieur.gouv.fr sur le site ciblé et boom : citoyen Camille Dupont a visité un site interdit !

Une seconde solution pour ce service de renseignement, si le site peu recommandable est servi en HTTP : pratiquer l'attaque de l'homme du milieu (MITM). Cette attaque permet également d'injecter du code dans une page du site web.

Finalement, il existe une technique pour associer un citoyen à une visite sur un site ciblé qui contourne toutes les contremesures (connues des auteurs de cet article) qui ont été déployées notamment à l'encontre des régies publicitaires, y compris First Party Isolation de Mozilla, et son équivalent dans le Tor Browser. Cette technique utilise la redirection HTTP et une page web qui pourrait être hébergée sur https://media.interieur.gouv.fr. Cette page web offrirait volontairement une vulnérabilité de type Open Redirect : en clair, dès que le Javascript de cette page est chargé, il enregistrerait les paramètres de la query string ainsi que l'état civil de l'utilisateur, puis effectuerait une redirection du navigateur (top level navigation) vers l'adresse du site web peu recommandable indiquée dans cette query string. 

Délibérée ou accidentelle, cette fonctionnalité est dangereuse pour les libertés des citoyens français.

Pour les plus sceptiques, un ensemble de sites de démonstration ont été mis en place, qui simulent ce que le Ministère de l'Intérieur peut faire.

Comment s'en protéger ?

Une application mobile en sources ouvertes dédiée à la génération d'attestation est une voie intéressante : elle serait immunisée aux attaques web. La recommandation n'est cependant pas d'utiliser TousAntiCovid. Son modèle est voué à l'échec et présente des risques d'atteinte à la vie privée. De plus, TousAntiCovid accomplit de nombreuses autres missions qui nécessitent des privilèges supplémentaires, dont la connexion au réseau.

Pour se protéger des risques de dévoiement du site de génération de l'attestation COVID-19, il n'existe aucune panacée au meilleur de la connaissance des auteurs de cet article. Il est donc recommandé :

  • de ne pas enregistrer ses données en laissant décoché "Mon téléphone se souvient de moi" ou

  • d'éviter le risque en générant ses attestations autrement (sur papier ou avec des applications alternatives ne reposant par sur la sécurité des navigateurs web).

Enfin, si vous avez utilisé la fonction de mémorisation des données personnelles par le passé, il convient d'effacer toutes les données stockées par le site https://media.interieur.gouv.fr. Il est préférable de le faire en utilisant la fonctionnalité de nettoyage de l'historique du navigateur (en cochant bien la case d'effacement des données stockées par le site), plutôt que d'utiliser le bouton prévu à cet effet dans l'application web de génération des attestations (bien que celle-ci agisse correctement à l'heure de l'écriture de cet article).

Recommandations au Ministère de l'Intérieur

Les recommandations principales sont de retirer la fonctionnalité de mémorisation de l'état civil, et d'ajouter un nettoyage automatique de ces données si elles ont été mémorisées par le passé.

L'usage de l'origine https://media.interieur.gouv.fr est un choix médiocre pour plusieurs raisons :

  • de nombreuses ressources sont servies par cette origine ; la compromission d'une seule de ces ressources entraine la fuite des données personnelles (état civil) des citoyens français. L'isoler sur une origine dédié est une tâche prioritaire.
  • media.interieur.gouv.fr peut trop facilement co-héberger une application délibérément utilisée pour traquer les utilisateurs, tout en prétendant avoir un objectif légitime ; si un site web tiers héberge une sous-page servie par https://media.interieur.gouv.fr, il ne fera pas immédiatement le rapport avec le risque de pistage des citoyens. En utilisant une autre origine dédiée (https://attestation-covid.media.interieur.gouv.fr, par exemple), vous faîtes preuve de transparence et vous permettez à vos partenaires et vos citoyens de vérifier/douter d'une sous-page que vous voudriez qu'ils ajoutent à votre site web.

En outre, les entêtes de sécurité HTTP employés pour servir le site web de génération des attestations COVID-19 sont strictement insuffisants. Vous employez à la date d'écriture de cet article X-XSS-Protection qui est obsolète, HSTS (de manière adéquate, bravo), x-content-type-options. Les auteurs de cet article recommandent l'ajout des entêtes suivants :

  • Content-Security-Policy (dont frame-ancestors 'none', script-src et default-src), afin de prévenir l'inclusion dans une sous-page et de charger du contenu malveillant en cas de XSS qui ne serait pas bloquée par X-XSS-protection qui est obsolète ;
  • X-Frame-Options: deny afin de prévenir l'inclusion dans des sous-pages ;
  • Cross-Origin-Opener-Policy: same-origin afin de prévenir la fuite d'information via l'ouverture de pop-ups par un attaquant (Spectre, etc.) ;
  • Cross-Origin-Resource-Policy: same-site afin de prévenir l'inclusion de ressources de votre site sur un site tiers ; cela évitera que le secret hardcodé dans votre code source soit volable de manière automatisée ;
  • Cross-Origin-Embedder-Policy: require-corp afin d'imposer l'usage de Cross-Origin-Resource-Policy

Enfin, si vous tenez absolument à maintenir la fonctionnalité de mémorisation, il est recommandable de retirer la couche de chiffrement ls-secure qui est parfaitement inutile et non conforme au Référentiel Général de Sécurité (RGS) - Annexe B1.