Google a promis que son application de suivi des contacts était totalement privée, mais ce n'était pas le cas

Publié le 21/05/2021
The markup


Lorsque Google et Apple ont présenté leur cadre de traçage des contacts COVID-19 en avril 2020, les entreprises avaient pour objectif de rassurer les gens qui craignaient de partager des informations de santé privées avec de grandes entreprises.

~ L'application des services nationaux de santé du Royaume-Uni compte au moins 16 millions d'utilisateurs, tandis que l'application d'alerte COVID du service numérique du Canada a enregistré plus de six millions de téléchargements en janvier et celle de Virginie. Le ministère de la Santé a noté que plus de deux millions de résidents utilisaient son application COVIDWISE.

"Ce correctif est une chose sur une seule ligne où vous supprimez une ligne qui enregistre des informations sensibles dans le journal système. Cela n'a pas d'impact sur le programme, cela ne change pas son fonctionnement ", a déclaré Joel Reardon, co-fondateur et responsable de la criminalistique d'AppCensus. "C'est une solution tellement évidente, et j'étais sidéré que ce ne soit pas vu comme ça.

~ Lorsqu'on lui a demandé si la vulnérabilité avait été éliminée, Castañeda a déclaré que "le déploiement de cette mise à jour sur les appareils Android a commencé il y a plusieurs semaines et sera terminé dans les prochains jours".

~ "Ce que Google dit, c'est que ces logs ne quittent jamais l'appareil".

~ Lorsque Google et Apple ont lancé l'outil pour la première fois, ils ont promis que "la liste des personnes avec lesquelles vous avez été en contact ne quitte pas votre téléphone, sauf si vous choisissez de la partager", lors d'un point de presse. Lors du discours d'ouverture de l'International Association of Privacy Professionals en juillet dernier, les responsables de la protection de la vie privée de Google et d'Apple ont souligné que le fait de stocker et de traiter les données uniquement sur des appareils et non sur des serveurs protégeait la vie privée de leurs utilisateurs. "Nous étions convaincus que le fait que toutes ces informations de notification d'exposition soient stockées sur [l']appareil et que le traitement soit effectué sous le contrôle strict de l'utilisateur était une caractéristique essentielle de la conception pour optimiser la confidentialité du système", a déclaré Keith Enright, responsable de la protection de la vie privée chez Google, lors de la table ronde. La politique de confidentialité du Connecticut pour l'application de recherche de contacts de l'État indique également que les données ne sont stockées que sur l'appareil de l'utilisateur et ne sont pas partagées, sauf si une personne a un diagnostic positif au COVID-19 et choisit de partager cette information.

~ "Ces données sont stockées uniquement sur l'appareil de l'utilisateur et ne sont jamais partagées à moins que l'utilisateur ait un diagnostic positif de COVID-19 et choisisse de partager cette information dans le système", indique la politique. Parce qu'il s'avère qu'aller vite et casser des choses a cassé des choses super importantes.

~ Google a un programme dans lequel il paie les chercheurs qui découvrent des problèmes de sécurité dans ses services, mais seulement si l'entreprise considère que la faille est suffisamment grave.

~ Quatre jours plus tard, Reardon a reçu un courrier électronique automatique de Google lui indiquant que la faille n'était pas suffisamment grave pour justifier un paiement et que l'équipe de sécurité allait "décider si elle souhaitait effectuer un changement ou non".

~ Dans un courriel, Hogben a noté, en réponse aux préoccupations de Reardon, que les journaux du système ne pouvaient être consultés que par certaines applications.

~ Nous poursuivons des analyses percutantes, fondées sur des données, et demandons des comptes aux institutions puissantes. Le journalisme indépendant est essentiel à une société saine, et votre soutien est essentiel au journalisme indépendant.

The markup