13 mai 2021

Les Pays-Bas désactivent l’application de traçage COVID après avoir découvert qu’elle aide Google à collecter des données privées

Les données privées des utilisateurs de l’application ont été collectées par d’autres programmes que Google installe par défaut sur un téléphone Android

  • L’application utilise le cadre de notification d’exposition Google Apple (GAEN)
  • Les applications tierces ne sont pas censées avoir accès aux codes d’application
  • L’application CoronaMelder n’enverra pas d’avertissement sur les infections potentielles pendant deux jours

Le ministère néerlandais de la Santé, du Bien-être et des Sports a annoncé la désactivation de son application mobile de suivi des contacts COVID-19 après avoir découvert que les données privées des utilisateurs avaient été collectées par d’autres programmes que Google installe par défaut sur les téléphones Android.

L’application CoronaMelder n’enverra pas d’avertissement sur les infections potentielles pendant deux jours, a déclaré le ministère de la Santé, après la découverte de la fuite de données.

L’application utilise le cadre GAEN (Google Apple Exposure Notification) – tout comme de nombreuses autres applications similaires utilisées dans l’UE. Il fonctionne en utilisant des codes générés aléatoirement changeant constamment échangés entre des téléphones proches les uns des autres – et envoie des avertissements à ceux qui étaient en contact avec quelqu’un qui a ensuite été testé positif au COVID-19.

Les applications tierces ne sont pas censées avoir accès à ces codes. Cependant, il s’est avéré que ce n’était pas le cas sur les téléphones Android et les applications installées par défaut étaient très capables de lire les données.

Dans un communiqué, le gouvernement a déclaré qu’il s’agissait d’une «  violation de la loi temporaire sur les demandes de notification [for] COVID-19[FEMININE’Lafailleaétédécouvertepourlapremièrefoisparunréseaudesantéenligneàl’échelledel’UEetsignaléeauxPays-Basle22avrilUneenquêteaétéouvertepeudetempsaprèsincitantleministredelaSantéHugodeJongeàsuspendretemporairementl’applicationmêmesiGooglea« indiqué »qu’elleavaitcorrigéleproblème

Le gouvernement ne prend aucun risque, cependant, en choisissant de s’assurer que le problème est résolu avant de permettre à l’application de recommencer à fonctionner. Il utilisera les deux jours pour «déterminer si Google a réellement corrigé la fuite», indique le communiqué du ministère.

Selon Google, le problème résidait dans les «identifiants Bluetooth aléatoires utilisés par le cadre de notification d’exposition» qui étaient «temporairement accessibles à un nombre limité d’applications préinstallées». Il a également déclaré que les données fournies par les identifiants «  à elles seules n’ont aucune valeur pratique pour les mauvais acteurs  », ajoutant que les développeurs d’applications tierces ignoraient probablement que les données étaient disponibles.

Google a également promis que le correctif serait «disponible pour tous les utilisateurs d’Android dans les prochains jours». L’application néerlandaise avait été téléchargée par 4 810 591 personnes au 27 avril, selon son site Web.