Des failles découvertes dans une application de collecte de données Covid-19 aux Philippines

COVID-KAYA est une plateforme utilisée par le personnel de santé en première ligne aux Philippines pour collecter et partager des données sur les cas COVID-19 avec le ministère de la santé philippin. Elle a été développée conjointement par le bureau d'épidémiologie du ministère de la santé des Philippines, l'Organisation mondiale de la santé (OMS) et Dure Technologies. Des chercheurs du Citizen Lab, un laboratoire de l’université de Toronto ont signalé que les applications web et Android liées à cette plateforme contenaient des vulnérabilités pouvant permettre à un attaquant d'accéder à des données sensibles sur les utilisateurs de l'application, et potentiellement aux données des patients.

Une faille dans le mécanisme d’authentification de l’application web pouvait permettre à un attaquant distant et non-authentifié d’accéder à la liste des noms et emplacements des établissements de santé, ainsi qu’aux noms et prénoms de plus de 30000 professionnels de santé inscrits sur l'application. En effet, un utilisateur non authentifié pouvait accéder à différentes pages de l’API nécessitant normalement une authentification. Il est également envisageable qu'un attaquant ait pu exploiter cette vulnérabilité dans le but d’obtenir des données à caractère personnel de patients.

Une autre faille était présente dans l’application Android. Une clé d’authentification au format HTTP Basic (clé contenant un login et mot de passe encodés en base64 et donc facilement accessibles) apparaissait en « dur » dans le code source de l’application. Via l’API, il était possible d’envoyer une requête de connexion en intégrant ces données dans un en-tête http « Authorization » et d’obtenir ainsi l’accès à certaines ressources de la plateforme nécessitant normalement une authentification. Cela permettait alors d’accéder aux mêmes informations concernant les établissements et professionnels de santé mais pas aux données des patients.

La vulnérabilité de l'application web a été révélée aux développeurs de l'application le 18 août 2020, et celle de l'application Android le 14 septembre 2020. Le 29 octobre 2020, il a été confirmé que les problèmes identifiés avaient été résolus et que les informations d'authentification divulguées avaient été invalidées.

Les chercheurs du Citizen Lab ont publié sur leur site web un article très intéressant détaillant les investigations qu’ils ont réalisées. Le lien vers cet article est disponible ci-dessous.