Voulez-vous savoir avec quoi Viola Amherd a été vaccinée?

Traduction de l’article du Republik

Pascal Kotté
Apr 16 · 17 min read

Merci pour le partage Bruno Chanel

Pour ceux qui se sentent concernés par la question de la bientraitance des données privées, rejoindre ou créer le Hub MyData.org de votre canton: Vaud = http://MyDataVaud.ch et Genève = https://mydatageneva.org/?lang=fr

Et il y aura la suite en dessous, publiée 1 semaine après.

Ouvert comme un annuaire téléphonique et facile à manipuler: la sécurité et la protection des données de la carte de vaccination numérique suisse sont pires qu’on ne le savait auparavant. Même les données de vaccination des conseillers fédéraux étaient accessibles à Republik.

Une recherche d’ Adrienne Fichter, Patrick Seemann (texte) et Lisa Rock (illustration), 23.03.2021 Merci Adrienne Fichter et Patrick Seemann

Plus d’informations sur Republik.

Toute personne vaccinée contre Covid-19 devrait pouvoir voyager librement en Europe. Cette idée est actuellement en discussion dans l’UE. A l’instar d’Israël, l’Union européenne souhaite mettre en place une

«carte verte de vaccination numérique».

La Suisse travaille également sur une carte de vaccination numérique. Le Parlement a ajusté la loi Covid-19 la semaine dernière.

Tous les yeux sont rivés sur la plateforme Meineimpfungen.ch et l’application de vaccination associée MyViavac. Là, les utilisateurs peuvent entrer les vaccinations qu’ils ont reçues et quand, et vérifier s’il leur manque certaines vaccinations.

La plateforme est gérée par une fondation et privilégiée par l’Office fédéral de la santé publique (BAG) pour la carte de vaccination électronique. Neuf cantons ont un contrat avec la fondation. Objectif: fusionner les données du logiciel d’enregistrement des vaccinations des cantons et du carnet de vaccination électronique national.

Cependant, Meineimpfungen.ch et le module MyCovidVac associé présentent de graves lacunes de sécurité et ne répondent pas aux exigences en matière de protection des données. Un rapport technique des experts en sécurité de l’information Sven Fassbender, Martin Tschirsich et André Zilch ainsi que des recherches de Republik révèlent trois problèmes graves:

  1. Droits d’accès complets: Tout professionnel de la santé inscrit sur la plateforme a un accès complet aux données de vaccination et de santé de tous les particuliers enregistrés. Par exemple, elle pourrait facilement manipuler leurs données de vaccination pertinentes pour les covid.
  2. Vérification inadéquate: lors de l’inscription en tant que médecin spécialiste pour la première fois, il n’y a pas de véritable vérification d’identité. La vérification est basée uniquement sur les informations fournies par le demandeur. Cela signifie: il est facile de se faire passer pour un «médecin».
  3. Lacunes de sécurité: les pirates peuvent voler les cartes de vaccination Covid-19 de toutes les personnes précédemment vaccinées sur la plate-forme relativement facilement. Avec un peu de connaissances techniques, ils peuvent également manipuler les données de vaccination et d’autres données de santé.

La porte à une mauvaise utilisation et à la compromission des données d’environ 450 000 personnes vaccinées enregistrées, dont 240 000 personnes vaccinées Covid, est grande ouverte avec les lacunes de sécurité qui ont été identifiées.

Dès janvier 2021, Republik a signalé des lacunes en matière de sécurité sur Meineimpfungen.ch. À l’époque, il s’agissait de problèmes techniques qui étaient partiellement résolus. Un examen approfondi de la plate-forme a maintenant montré, cependant, que les problèmes sont beaucoup plus graves que prévu. Et cela remet en question l’adéquation de la plate-forme en tant que telle.

«Nous classons le risque d’abus comme critique», déclare l’expert en sécurité Sven Fassbender. Dans le monde professionnel, «critique» signifie le risque de sécurité le plus élevé. Et cela signifie: les points faibles peuvent également être exploités par des profanes. L’équipe d’experts écrit dans son rapport: «Les services doivent être immédiatement mis hors service».

On ne sait pas si les vulnérabilités ont été réellement exploitées par des criminels. Mais le risque est réel: les conseillers fédéraux Ignazio Cassis et Viola Amherd ont un compte sur Meineimpfungen.ch, comme Republik l’a découvert. Et Republik aurait facilement pu voir l’état de vaccination des conseillers fédéraux et les informations sur les maladies chroniques sans que le ministre des Affaires étrangères Cassis et le ministre de la Défense Amherd ne s’en aperçoivent.

Le délégué fédéral à la protection des données (Edöb) Adrian Lobsiger a immédiatement engagé une procédure de surveillance contre la fondation Meineimpfungen.ch sur la base du rapport de sécurité et de la recherche de Republik.

La plateforme a été mise hors ligne hier lundi.

1. Les données de vaccination sont ouvertes comme un annuaire téléphonique

De l’extérieur, tout semble normal sur Meineimpfungen.ch. Les données du carnet de vaccination électronique semblent n’être accessibles qu’aux utilisateurs eux-mêmes. Pour qu’un professionnel de la santé puisse consulter ces données, il doit explicitement autoriser l’accès ou transmettre un code.

Ceci est différent du point de vue du professionnel inscrit: il a accès aux données personnelles de toutes les personnes privées inscrites sur la plateforme sans autre obstacle. C’est ce que Republik a découvert avec les vaccinations Covid-19. D’autres dates de vaccination — comme celles contre la varicelle ou la rougeole — n’ont pas été examinées pour des raisons juridiques.

Donc ça signifie:

  • Les informations personnelles telles que l’adresse, le numéro de téléphone, la date de naissance, le statut vaccinal, les détails de l’assurance maladie ainsi que les données personnelles particulièrement sensibles telles que le statut vaccinal ou les facteurs de risque des citoyens enregistrés peuvent être consultées et modifiées par tous les professionnels de la santé. Pour eux, la plateforme est un annuaire téléphonique ouvert qu’ils peuvent encore réécrire.
  • Les soi-disant indicateurs d’une vaccination Covid-19 sont également visibles pour les médecins et peuvent également être modifiés: cela permet, par exemple, à l’insu des personnes touchées, de déplacer un jeune de 25 ans en parfaite santé vers le groupe à risque (et ainsi sécuriser une vaccination précoce) Ou, dans le cas contraire, annuler les maladies précédentes chez une personne de 72 ans afin de reporter le rendez-vous de vaccination.

Il s’agit d’une grave faille de sécurité conceptuelle. Pour des raisons juridiques, Republik n’a pas cherché à savoir s’il serait également possible d’enregistrer une vaccination contre Covid 19, qui n’a jamais existé. Mais le simple fait que chaque utilisateur enregistré en tant que spécialiste puisse consulter et modifier les données de santé particulièrement sensibles de tous les utilisateurs enregistrés dans toute la Suisse est suffisamment critique. “Cela viole également de manière flagrante les conditions d’utilisation de Meineimpfungen.ch”, déclare le délégué fédéral à la protection des données Adrian Lobsiger à propos de Republik.

Pire encore: les médecins critiquant Covid-19 pourraient falsifier les informations et manipuler les dossiers de vaccination des patients.

2. Tout le monde peut s’inscrire en tant que spécialiste

Plus grave encore que les droits de lecture et de modification des femmes médecins, l’inscription en tant que professionnel de la santé est sujette à la fraude. En quelques astuces, les hackers peuvent s’inscrire en tant que spécialiste sur Meineimpfungen.ch et bénéficier des mêmes droits d’accès que les médecins.

Ici aussi, le processus d’enregistrement semble sûr au premier abord:

  • En tant que professionnel de la santé, vous créez un compte avec votre identification EAN / GLN (un numéro d’identification unique pour les médecins) et vos données personnelles et numéro de téléphone / e-mail.
  • Vous recevez alors un email de la plateforme vous demandant de vous identifier en tant que médecin spécialiste, que ce soit à l’aide d’une photo de la carte HPC délivrée par l’Association médicale FMH ou du certificat ou diplôme. Ce n’est qu’alors que le compte utilisateur sera activé.

Cela ressemble à un test sérieux et sûr.

Cependant, l’annuaire suisse EAN / GLN est accessible au public, vous pouvez donc facilement trouver le nom d’un spécialiste dont vous pouvez supposer qu’il n’a pas encore demandé l’accès à la plate-forme de vaccination et vous inscrire en tant que cette personne.

Republik aurait pu créer un faux accès à Meineimpfungen.ch avec peu d’efforts: en utilisant le nom d’un médecin et le numéro EAN / GLN approprié et une adresse e-mail créée spécialement à cet effet. La preuve requise de la formation médicale aurait pu être fournie relativement facilement avec un faux document ou des photos. Des exemples d’identifiants de carte de professionnel de la santé ainsi que des diplômes de professionnel de la santé peuvent être facilement trouvés sur Internet.

Le test d’accès pour les professionnels de la santé repose donc sur une pure confiance — sur le fait que le médecin qui s’inscrit est bien celui qu’il prétend être. De meilleures procédures de vérification ne sont pas prévues. Il n’est donc pas exclu qu’un certain nombre de «faux médecins» se soient déjà inscrits sur Meineimpfungen.ch.

En outre, Republik a découvert une autre faille de sécurité, presque embarrassante, lors du processus d’enregistrement. Si un pirate informatique ne veut pas modifier les données de vaccination Covid, mais “seulement” les voir, il peut enregistrer lui-même le faux diplôme médical et utiliser la fonction de réinitialisation du mot de passe à la place. Cela leur donne accès à la plate-forme qui semble initialement très restreinte. Cependant, avec quelques astuces techniques, il est possible de contourner les restrictions et d’accéder aux cartes de vaccination.

Je veux savoir plus précisément: comment fonctionne l’accès sans compte validé?
Lors de votre inscription, en tant que professionnel de la santé, vous ne recevrez le mot de passe qu’après validation de votre diplôme médical. Cependant, il suffit de passer uniquement par la première étape de l’inscription en tant que professionnel de la santé, d’ignorer l’e-mail suivant demandant une copie du document et d’utiliser à la place la fonction de réinitialisation du mot de passe («Mot de passe oublié») pour le compte non encore validé pour définir un mot de passe. Cela permet aux pirates de définir eux-mêmes un mot de passe et d’accéder à Meineimpfungen.ch.
Quiconque s’y connecte ne semble pas avoir accès aux cartes de vaccination Covid à première vue, car la validation du compte est en attente. Cependant, seul l’élément de menu correspondant n’est pas affiché. Si vous connaissez l’URL de la carte de vaccination, vous pouvez la saisir directement dans la barre d’adresse du navigateur et ainsi accéder à la carte de vaccination. Les pirates peuvent également lire le jeton d’accès avec lequel tous les accès de l’utilisateur sont authentifiés (c’est-à-dire attribués à cet utilisateur). Ce jeton d’accès peut également être utilisé avec un compte qui n’a pas encore été validé pour un accès automatisé à toutes les données de vaccination Covid.

3. Les pirates peuvent voir les cartes de vaccination

Si un attaquant s’infiltre dans la plateforme de la manière décrite, il a accès à une grande quantité de données sensibles. Grâce au compte «transféré», elle peut facilement utiliser la fonction de recherche et accéder à toutes les données de vaccination enregistrées.

Si le hacker veut «seulement» connaître le statut vaccinal Covid-19 d’une personne privée, c’est encore plus facile s’il obtient le carnet de vaccination de certaines personnes au format PDF. En plus du jeton d’accès (voir encadré «Comment fonctionne l’accès sans compte validé?»), Il lui suffit du numéro d’identification numérique (ID) du patient et de l’ajouter à l’URL (c’est-à-dire la ligne d’adresse Internet).

Découvrir l’identité d’un patient semble être un obstacle difficile à surmonter. Mais chez Meineimpfungen.ch, les chiffres ne sont ni particulièrement complexes ni générés de manière aléatoire. Le numéro d’identification n’est qu’un horodatage — il indique l’heure à laquelle le compte patient a été créé.

En supposant que la plupart des résidents suisses ne se sont enregistrés que lorsque la campagne de vaccination Covid a commencé au début de l’année, le pirate informatique peut utiliser un petit programme pour utiliser tous les identifiants possibles depuis le 1er janvier 2021 pour les demandes de cartes de vaccination. Beaucoup d’entre eux n’existeront pas et mèneront à l’échec. Mais selon le rapport technique de l’équipe de sécurité informatique, un carnet de vaccination valide pourrait théoriquement être appelé toutes les 15 minutes. Si les requêtes sont réparties par portions sur plusieurs jours ou uniquement la nuit, les opérateurs système de Meineimpfungen.ch — la société informatique Arpage — ne devraient guère s’en apercevoir.

Republik, également avec la participation de l’expert en sécurité informatique Sven Fassbender, a déjà décrit le problème d’un identifiant visible publiquement dans l’URL et facile à deviner, en utilisant le portail de réservation Lunchgate comme exemple. Mais les dates de vaccination sont beaucoup plus sensibles que les visites au restaurant car ce sont des informations sur la santé.

On sait que tous les conseillers fédéraux ont été vaccinés. Comme mentionné, Republik a réussi à trouver les comptes des deux conseillers fédéraux Viola Amherd et Ignazio Cassis. Elle aurait également pu facilement ouvrir sa carte de vaccination et avoir accès au vaccin administré et à d’autres informations personnelles sur la santé.

Je souhaite en savoir plus précisément: quels sont les autres scénarios d'attaque possibles sur la plateforme de vaccination?a) Prise de contrôle de compte via des scripts intersites (XSS)Sur Meineimpfungen.ch, après avoir créé leur compte, les particuliers peuvent enregistrer les vaccinations précédentes et les faire valider (confirmer) lors de leur prochaine visite chez le médecin. Comme le montrent les recherches de Republik, la plate-forme Meineimpfungen.ch ne vérifie, code et filtre que de manière incomplète les entrées de texte effectuées par des particuliers, de sorte que les attaquants puissent également saisir notamment le code du programme. Ce code de programme est ensuite exécuté lorsque le médecin appelle les données de vaccination. Dans les cercles professionnels, ce type d'attaque est connu sous le nom de script intersite .Ce qui est intéressant pour un attaquant, c'est que le code du programme injecté peut être exécuté avec les droits d'accès du médecin qui vient de se connecter. En bref: un pirate informatique prend en charge le compte d'un médecin. Avec une connaissance appropriée du fonctionnement de l'application, le code peut facilement être conçu de manière à pouvoir exécuter des fonctions spécifiques qui ne sont en fait accessibles qu'aux spécialistes. Cela inclut la validation ou l'invalidation des vaccinations ainsi que l'enregistrement des maladies antérieures des patients, mais aussi - particulièrement intéressant pour les attaquants - la lecture de toutes les données de santé des patients d'un médecin ou la saisie d'une vaccination Covid. Surtout dans le cas des libertés dépendant du statut vaccinal, ces dernières pourraient rapidement gagner en importance.Une attaque XSS nécessite que quelqu'un (dans ce cas, le médecin spécialiste) soit personnellement connecté à l'ordinateur et ait accès aux données manipulées. Pour y parvenir, un pirate informatique peut profiter du fait que les médecins sont informés par e-mail lorsqu'un patient laisse un message sur Meineimpfungen.ch. Comme pour les autres attaques de phishing, le pirate peut rédiger lui-même cet e-mail avec un lien correctement modifié et le remettre au médecin. Lorsque vous cliquez sur le lien, Meineimpfungen.ch affiche le contenu précédemment manipulé dans le navigateur et exécute le code associé.b) Prise de contrôle de compte au moyen d'un "piratage de mot de passe"En cas de réinitialisation du mot de passe, vous recevrez un lien de réinitialisation du mot de passe avec une chaîne à six chiffres (jeton) par e-mail, avec lequel Meineimpfungen.ch attribue le nouveau mot de passe au compte correct. Les jetons à six chiffres ne sont pas assez complexes; ils peuvent être devinés dans un délai raisonnable en passant par toutes les options. Pour ce faire, le pirate déclenche la réinitialisation du mot de passe pour un certain nombre de comptes de personnel spécialisé, exécute un programme qui essaie les jetons jusqu'à ce que le changement de mot de passe soit réussi, puis teste lequel des comptes de personnel spécialisé dans lequel elle se trouve peut se connecter avec un nouveau mot de passe.Ceci est grandement facilité par le manque de 2FA (authentification à 2 facteurs) dans les comptes spécialisés (pour les utilisateurs normaux, le 2FA n'est pas seulement possible, il est même fortement recommandé). Cela peut paraître surprenant au premier abord, mais cela peut s'expliquer par le fait que, pour des raisons purement pratiques, plusieurs assistants de pratique et médecins partagent souvent un même compte utilisateur dans les cabinets médicaux et il n'est donc pas si facile de se connecter à la bonne personne. Code 2FA à envoyer.

La plate-forme a été fermée

La carte de vaccination électronique viole à plusieurs reprises la loi sur la protection des données (toujours obsolète) (la version révisée n’entrera en vigueur qu’à partir de 2022). La fondation s’appuie également sur l’infrastructure des grandes entreprises technologiques américaines. Par exemple, les services Google tels que Google Cloud sont utilisés pour utiliser le module MyCovidVac .

La fondation a réagi aux lacunes signalées. La plateforme a été temporairement désactivée hier lundi. La porte-parole Nicole Bürki a déclaré à propos de Republik: “Les lacunes de sécurité décrites ne nous étaient pas connues avant hier, dimanche.” Tous les résultats seront vérifiés et une société tierce spécialisée se verra confier des vérifications supplémentaires.

Republik a également signalé les abus qu’elle avait constatés au délégué fédéral à la protection des données. L’équipe informatique d’Edöb a ensuite vérifié et confirmé les points faibles. Le délégué à la protection des données Adrian Lobsiger a engagé lundi une procédure de contrôle contre la fondation Meineimpfungen.ch. La fondation est désormais invitée à commenter en détail les faits et également à expliquer comment les personnes concernées seront informées en cas de vol de données.

Interrogé par Republik, Grégoire Gogniat, le porte-parole de l’Office fédéral de la santé publique, a déclaré: «Le BAG a immédiatement chargé la fondation de donner suite à l’information et de remédier aux carences». En raison des critiques croissantes, le BAG semble se distancier de plus en plus de la fondation. Par exemple, le porte-parole Gogniat a souligné que Meineimpfungen.ch n’est pas un registre national de vaccination et que l’enregistrement est volontaire. On ne sait pas non plus sur quelle plate-forme ils travailleront pour la carte de vaccination de l’État, selon le BAG dans le «Tages-Anzeiger » la semaine dernière.

Jusqu’à récemment, les intentions étaient complètement différentes: en réponse aux propositions parlementaires, le Conseil fédéral a désigné la plate-forme existante Meineimpfungen.ch comme candidat valable pour un carnet de vaccination national. Selon un document confidentiel de décembre 2020 — qui est cependant disponible en ligne — la coopération entre l’OFSP et Meineimpfungen.ch semble déjà scellée: «(…) Documentation du dossier de vaccination pour le suivi de la vaccination également quant à la création d’un carnet de vaccination pour les personnes vaccinées, le BAG a décidé de travailler avec myCovidVac. “ Selon une étude du «SonntagsZeitung», le gouvernement fédéral a déjà investi 2,15 millions de francs et promis 250 000 francs supplémentaires.

Cependant, le Parlement a des idées complètement différentes. Conformément à l’article 6a de la loi Covid-19 récemment modifiée, cela souhaiterait une solution de passeport de vaccination numérique qui soit infalsifiable, reconnue internationalement, conforme à la protection des données et permettant des contrôles locaux.

Meineimpfungen.ch ne répond en aucun cas à ces normes.

Et il y a la suite: https://www.republik.ch/2021/03/30/wie-das-debakel-um-den-digitalen-impfpass-schoengeredet-wird

Comment la débâcle entourant le certificat de vaccination numérique est passée sous silence

Comptes utilisateurs non supprimés, inscriptions forcées et informations incorrectes des opérateurs: le point sur les graves lacunes de sécurité chez Meineimpfungen.ch.

Par Adrienne Fichter et Patrick Seemann, 30 mars 2021

La semaine dernière, Repulik a publié des recherches sur la plateforme Meineimpfungen.ch. Les connaissances acquises en collaboration avec les experts en sécurité informatique Sven Fassbender, Martin Tschirsich et André Zilch ont conduit à la mise hors ligne de la carte de vaccination électronique. Les faiblesses étaient si graves que le délégué fédéral à la protection des données a engagé une procédure de contrôle.

La question est extrêmement inconfortable pour l’Office fédéral de la santé publique (BAG). Le bureau s’est rapidement distancé de la plate-forme — bien qu’il ait évidemment travaillé avec elle et apporté des contributions financières. Virginie Masserey, chef du service de lutte contre les infections à l’OFSP, a également démissionné de son poste de membre du conseil de fondation de Meineimpfungen.ch. Et lors de conférences de presse, la directrice du BAG Anne Lévy et le conseiller fédéral Alain Berset ont souligné à l’unisson: Nous ne partageons pas la responsabilité.

En contradiction avec ces affirmations, on peut voir ce qui suit:

  • La carte de vaccination électronique est beaucoup plus intégrée que prévu dans les processus institutionnels de la campagne de vaccination suisse.
  • Le chaos des données est bien plus important que prévu.
  • Dans un communiqué de presse, la fondation a tenté de minimiser les graves lacunes — même avec des déclarations grossièrement fausses.

Le point sur la recherche en trois points:

1. Enregistrement obligatoire des femmes médecins

À l’hôpital de Thurgovie, les spécialistes ont pu se faire vacciner au printemps. La saisie électronique sur Meineimpfungen.ch était obligatoire pour les femmes médecins, comme le montre un document mis à la disposition de Republik. Un spécialiste qui nous a contactés affirme que cette entrée obligatoire a provoqué une grande irritation. L’hôpital de Thurgovie n’a pas répondu à une demande.

L’intégration du carnet de vaccination électronique dans les processus cantonaux est devenue évidente dans les jours qui ont suivi nos recherches. À Saint-Gall et à Zurich, par exemple, la référence et la recommandation concernant Meineimpfungen.ch n’ont été supprimées des sites Web et des formulaires que quelques jours plus tard. Dans certains cantons, la recommandation est encore sur papier aujourd’hui.

2. Données toujours disponibles malgré la demande de suppression

Entre-temps, nous avons reçu de nombreuses lettres des personnes concernées. Certains nous rapportent que leurs comptes utilisateurs sur Meineimpfungen.ch existent toujours malgré leur demande de suppression. Un lecteur décrit comment il a demandé la suppression en 2015. Ceci après avoir appris que l’ancienne base de données BAG serait transférée à une fondation privée.

La présidente du Conseil de fondation, Claire-Anne Siegrist, a confirmé la suppression du compte utilisateur dans un mail que Republik avait reçu. Mais la semaine dernière, le lecteur a reçu l’e-mail officiel dans lequel la fondation informait des failles de sécurité et de l’interruption de la plate-forme. Cela signifie que son compte utilisateur n’a en fait jamais été supprimé. Ses données de vaccination et de santé étaient sur les serveurs de Meineimpfungen.ch depuis six ans à son insu. C’est une autre violation flagrante de la loi sur la protection des données.

La porte-parole Nicole Bürki déclare: “Par défaut, les données utilisateur ne sont pas supprimées immédiatement afin de permettre leur restauration. Ce fait a été informé dans la déclaration de protection des données de la plateforme”. Mais cette explication est discutable: tout d’abord, la déclaration de protection des données jusqu’en janvier 2021 — date à laquelle Republik a rendu publiques les premières faiblesses techniques — a été aussi courte que possible. La nécessité d’un stockage temporaire des données n’a même pas été mentionnée. Deuxièmement: dans le cas présent, la demande d’annulation remonte à six ans.

La fondation a maintenant également découvert qu’elle stockait depuis des années un cimetière de données de comptes prétendument supprimés. La porte-parole Bürki admet: «Lors du suivi de l’envoi d’e-mails à tous les utilisateurs de la plate-forme, il a été constaté que les données des utilisateurs individuels n’avaient pas encore été définitivement supprimées. Ces données seront désormais définitivement supprimées et il sera précisé pourquoi ces données n’ont pas encore été définitivement supprimées. “

3. Communiqué de presse trompeur

La fondation Meineimpfungen.ch a informé ses utilisateurs de la désactivation de la plateforme quatre jours seulement après notre rapport et deux jours après la publication de nos recherches. Elle a également publié un étrange communiqué de presse le 26 mars.

Elle y soulignait que toutes les vulnérabilités étaient fermées et qu’il n’y avait pas de cas d’abus: “Les enquêtes menées depuis lundi matin ont montré qu’aucune donnée n’a été manipulée, compromise ou volée.”

Le communiqué de presse est explosif pour trois raisons: Premièrement, à cause de déclarations trompeuses. Deuxièmement, parce qu’il omet délibérément de mentionner les graves lacunes existantes. Et troisièmement, parce que c’est également faux sur le plan factuel.

  • À propos des déclarations trompeuses. La fondation écrit, par exemple: “Une inscription non autorisée en tant que spécialiste avec un accès complet n’aurait été possible que sur présentation d’un faux diplôme de médecin ou de pharmacien (…)”. L’apaisement des fausses cartes d’identité est une dépréciation flagrante d’un point faible flagrant. Parce qu’un hacker peut utiliser certains modèles sur Internet ici.
  • Sur les lacunes non mentionnées. La fondation mentionne d’éventuelles lacunes XSS / CSRF ( Cross-Site-ScriptingAttaques), mais uniquement en relation avec de faux comptes professionnels, ce qui est une fausse déclaration. Parce que ce scénario d’attaque n’a rien à voir avec le point faible mentionné — le compte professionnel volé par une falsification d’identité. Au contraire: elle entre en jeu avant tout avec les «vrais» comptes spécialistes. Par exemple, lorsqu’un pirate informatique envoie un message avec un code de programme infiltré à un médecin sans méfiance sur la plateforme Meineimpfungen.ch et peut l’utiliser pour contrôler à distance son compte. Dans le communiqué de presse, pas un mot n’est perdu sur le fait que Meineimpfungen.ch est un annuaire téléphonique ouvert pour tous les professionnels inscrits: cela signifie l’accès aux données, aux indicateurs de vaccination et aux détails de vaccination de toutes les personnes en Suisse qui ont déjà été vaccinées contre Covid.
  • Aux erreurs factuelles. Le communiqué de presse implique que les erreurs et les lacunes se trouvent principalement dans le module MyCovidVac. Cependant, les lacunes XSS / CSRF que nous avons constatées, ainsi que l’inscription professionnelle non sécurisée, concernent l’ensemble de la plateforme Meineimpfungen.ch et donc toutes les données de santé saisies.

Il est douteux que la fondation ait vérifié toutes les entrées de données dans le court laps de temps et a probablement comblé les failles de sécurité qui existaient depuis des années. Notamment parce qu’un médecin pourrait théoriquement extraire «légalement» les données des 450 000 personnes inscrites via son compte spécialisé — sans que personne de la fondation ne s’en aperçoive.

Exclure toute utilisation abusive des données après quatre jours de test est une affirmation audacieuse qui peut être remise en question.

Responsibility.Digital

You are what you sign, accepting Terms of Services without…

Responsibility.Digital

You are what you sign, accepting Terms of Services without know, is not neutral, prefer ethical services

Pascal Kotté

Written by

Réducteur de fractures numériques, éthicien digital, Suisse romande.

Responsibility.Digital

You are what you sign, accepting Terms of Services without know, is not neutral, prefer ethical services