Un chercheur de la société F-Secure aide à renforcer la sécurité du test COVID-19 de l’entreprise Ellume

L’expert de F-Secure a mis en évidence des défauts de conception qui permettaient de falsifier les résultats de ces tests, puis il a aidé le fabricant à les corriger.

Rueil-Malmaison – 30 décembre 2021 : Un chercheur de F-Secure a identifié plusieurs défauts de conception sur le kit de test COVID-19 à domicile proposé par la société Ellume. Il a ensuite apporté son aide au fabricant afin de corriger le problème. Les défauts de conception permettaient de falsifier le résultat de ce test certifié, qui bénéficie d’une autorisation d'utilisation d'urgence aux États-Unis.

Le COVID-19 Home Test d'Ellume est un test antigénique à réaliser soi-même. Au lieu de soumettre un échantillon à un centre de test, les utilisateurs effectuent eux-mêmes le prélèvement nasal à l'aide du kit, puis testent l'échantillon à l'aide de l'analyseur Bluetooth inclus. Cet analyseur communique ensuite le résultat à l'utilisateur, ainsi qu'aux autorités sanitaires via l'application Android ou iOS d'Ellume.

C'est l'analyseur Bluetooth qui a retenu l'attention du consultant en sécurité Ken Gannon, spécialiste en sécurité mobile. Ken Gannon a découvert qu'il était possible de falsifier les résultats, entre le moment où l'analyseur Bluetooth effectue le test, et celui où le résultat est communiqué via l’application.

Après avoir falsifié un résultat, Ken Gannon et l'un de ses collègues ont été redirigés par Ellume vers un service tiers de vérification vidéo. Ce processus vise à vérifier l'identité des individus testés, qui doivent présenter un test négatif pour certaines activités, ainsi que pour l'entrée aux États-Unis*. Ils ont ainsi pu obtenir un certificat sanitaire.

« Notre recherche consistait à changer un résultat négatif en test positif, mais l’opération fonctionnait aussi dans le sens inverse. Jusqu’à ce qu’Ellume apporte les correctifs nécessaires, des individus ou des groupes pouvaient contourner les mesures de lutte contre le COVID via ce procédé, à condition qu’ils possèdent une haute expertise en cybersécurité », explique Ken Gannon.  « En exploitant ces failles, un individu doté des compétences techniques nécessaires aurait pu obtenir, pour lui ou ses complices, un résultat négatif à chaque test. »

Ken Gannon a communiqué ses découvertes à Ellume, qui a rapidement enquêté, puis confirmé le problème. L'entreprise a procédé sans attendre à plusieurs améliorations, pour empêcher la falsification des résultats des tests.

« Ellume a mis à jour son système pour détecter les résultats falsifiés et empêcher leur transmission. Nous avons analysé l'ensemble des résultats et pouvons confirmer qu'aucun autre résultat n'a été affecté. Nous allons par ailleurs mettre en place un portail de vérification pour permettre aux autorités, services de santé, employeurs, écoles, et organisateurs d'événements de vérifier l'authenticité du test COVID-19 à domicile proposé par Ellume », explique Alan Fox, responsable des systèmes d'information d'Ellume.

« Notre test ECHT était déjà l'un des plus sûrs du marché et, grâce aux connaissances de F-Secure, il est désormais encore plus sûr. Il affiche une fiabilité bien supérieure à celle des tests non-numériques, qui peuvent être facilement falsifiés en versant simplement du soda ou de l'eau sur le test, ce qui ne nécessite aucune compétence spécifique. Ellume affiche toute sa confiance dans la fiabilité de son test ECHT. Nous tenons à remercier F-Secure d'avoir attiré notre attention sur ce problème et nous saluons son engagement à protéger les particuliers, les entreprises et les organisations du monde entier », poursuit Alan Fox.

Si Ken Gannon a enquêté sur le test d'Ellume par curiosité professionnelle, il rappelle que des individus ou groupes mal intentionnés auraient pu, quant à eux, tirer parti de ces défauts de conception.

« En tant que chercheur, lorsque nous disséquons les technologies en recherchant des défauts de conception, nous le faisons à des fins de recherche. Les résultats nous permettent ensuite d'aider les entreprises à rendre leurs produits plus sûrs. À l'inverse, des individus ou des groupes malintentionnés peuvent tenter d'exploiter ces mêmes failles pour atteindre des objectifs malveillants. Dans le cas présent, certains utilisateurs auraient pu contourner les mesures de santé publique destinées à combattre la pandémie de COVID. Je suis donc heureux d'avoir pu aider Ellume à améliorer l'intégrité de ses tests », explique Ken Gannon.

 

Un compte-rendu des recherches menées par Ken Gannon est disponible sur le blog de F-Secure Labs : https://labs.f-secure.com/blog/faking-a-positive-covid-test.

 

*Source : https://www.ellumecovidtest.com/travel

A propos de F-Secure

Fondée en 1988, F-Secure est une entreprise finlandaise spécialisée en cybersécurité et cotée au NASDAQ OMX Helsinki Ltd. Depuis plus de trente ans, nous protégeons des dizaines de milliers d’entreprises et des millions de particuliers grâce à notre réseau de partenaires de distribution, et plus de 200 fournisseurs de services. Des solutions de protection des postes de travail à la détection et réponses aux menaces avancées, nous veillons à ce que nos utilisateurs puissent compter sur une cyber sécurité de haut-niveau. L’alliance unique de l’expertise humaine de solutions logicielles et d’intelligence artificielle nous permet d’être reconnu comme un acteur incontournable du marché européen.

f-secure.com/fr | twitter.com/fsecurefrance | linkedin.com/f-secure​ | facebook.com/f-secure

F-Secure media relations

Amon Francoise Koutoua

PR Manager, France & Benelux

+33 6 43 62 98 12
amon.francoise.koutoua@f-secure.com

Liste de presse

Inscrivez-vous pour recevoir nos dernières informations Presse F-Secure

We process the personal data you share with us in accordance with our Corporate Business Privacy Policy.

Archives Presse

Recherche par année

Parcourir par année

Recherche par catégorie

Parcourir par catégorie