# Projet Sécurisation des réseaux
## Sujet Application de traçage - rapport sur les failles de sécurité
### Introduction
Dans le cadre de notre master informatique au sein de l’UPJV, nous avons eu à réaliser un projet pour l’UE sécurité des réseaux avec Mr le Mahec et Mme Ionica. Ce projet consistait à étudier les potentielles failles de sécurités d'une application de traçage comme StopCovid, d'en comprendre le sens, les limites et les risques.
Dans le cadre du confinement suite à l'épidémie de Covid-19, le gouvernement français a décidé de mettre en place une application mobile de ce type basé sur les systèmes de tracages afin de prévenir la population d'un cas éventuels se trouvant à proximité. Ce projet de cryptographie devait donc détailler et présenter les différentes problèmes de sécurités ou "failles" de sécurités liées aux fonctionnements d'une telle application de type traçage de contact.
En premier lieu, nous traiterons et présenterons les différents problèmes existants liés à la principale technologie utilisé pour cette application (le bluetooth) puis dans un second lieu, nous traiterons les autres failles liés aux fonctionnement de l'application en elle-même.
### Les dangers du Bluetooh
Cette aplication utilise le bluetooth qui est certe une téchnologie pratique mais qui n'est pas sans risque. Le dispositif a pour principe de prévenir les gens lorsque quelqu'un est contaminé, une fois qu'un individu s'est fait diagnostiqué positif, il enverra une notification via l'application (de manière automatique) aux personnes autour de lui.
Le principe même de l'application impose donc d'avoir le bluetooth activé en permanence et de partager son UUID (Universally Unique IDentifier) à l'intégralité des gens recontrés. L'UUID est une manière intéressante pour identifier quelqu'un sans passer par son nom ou son adresse MACL. Cependant cet UUID peut être regénéré à tout moment, il faudrait donc que les développeurs de l'application trouvent un moyen de lier un UUID unique à chaque appareil individuel. Pour autant cela poserait un autre problème pour les utilisateurs car il serait facile d'utiliser cette information pour relier l'identité de l'individu à l'UUID de son appareil.
En dehors du problème d'anonymat, le fait d'avoir son bluetooth activé en permanence pour détecter ou être détecté pose d'autres problèmes, comme celui de la batterie des téléphones. Un téléphone éteint ne peut évidemment pas partager l'information ni en recevoir, et l'utilisation répétée du bluetooth risque de diminuer grandement le temps d'utilisation du téléphone. Il y a également le problème du piratage, le Bluetooth n'étant pas la téchnologie la plus sécurisée éxistante il éxiste une multitude de manière de retourner l'utilisation de cette technologie contre les utilisateurs, comme par exemple l'attaque Blueborne qui permet de prendre le contrôle d'un appareil, ou encore Bluesarfing qui permet de forcer le téléchargement de fichier depuis l'appareil de l'utilisateur de l'application.
En outre, il éxiste une multitude de programme permettant de "sniffer" en bluetooth et donc de récupérer les mac address des utilisateurs des applications. Ce qui permet encore une fois à des personnes malveillantes de pirater ou de localiser et donc annuler totalement l'anonymat des utilisateurs.
En conclusion, l'utilisation d'un UUID compromet l'anonymat des utilisateurs de l'application et l'utilisation prolongé du bluetooth compromet la fiabilité de la sécurité des appareils.
Sign in with Wallet
Connect another wallet