Contact Tracing: An Overview of Technologies and Cyber Risks

The 2020 COVID-19 pandemic has led to a global lockdown with severe health and economical consequences. As a result, authorities around the globe have expressed their needs for better tools to monitor the spread of the virus and to support human labor. Researchers and technology companies such as Google and Apple have offered to develop such tools in the form of contact tracing applications. The goal of these applications is to continuously track people’s proximity and to make the smartphone users aware if they have ever been in contact with positively diagnosed people, so that they could self-quarantine and possibly have an infection test.

A fundamental challenge with these smartphone-based contact tracing technologies is to ensure the security and privacy of their users. Moving from manual to smartphone-based contact tracing creates new cyber risks that could suddenly affect the entire population. Major risks include for example the abuse of the people’s private data by companies and/or authorities, or the spreading of wrong alerts by malicious users in order to force individuals to go into quarantine. In April 2020, the Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) was announced with the goal to develop and evaluate secure solutions for European countries. However, after a while, several team members left this consortium and created DP-3T which has led to an international debate among the experts.

At this time, it is confusing for the non-expert to follow this debate; this report aims to shed light on the various proposed technologies by providing an objective assessment of the cybersecurity and privacy risks. We first review the state-of-the-art in digital contact tracing technologies and then explore the risk-utility trade-offs of the techniques proposed for COVID-19. We focus specifically on the technologies that are already adopted by certain countries.

Source : ArXiv

Un moteur de recherche sécurisé et décentralisé pour les journalistes

Afin de garantir un échange d’informations sans risque de fuites entre les journalistes d’investigation, un Laboratoire de l’EPFL a mis au point un moteur de recherche décentralisé et une messagerie sécurisée permettant de préserver leur anonymat. Un article scientifique à ce sujet sera présenté durant la conférence Usenix Security Symposium qui se tiendra en ligne du 12 au 14 août.

L’anonymat constitue le point central du dispositif. Tant la recherche que l’échange d’informations peuvent se faire sans divulguer son identité ou le contenu des requêtes, ni aux collègues, ni à l’organisation. Cette dernière est garante du bon fonctionnement du système mais n’a pas connaissance des échanges. Elle émet des jetons virtuels que les journalistes apposent à leurs messages et à leurs documents afin de garantir aux autres leur appartenance au Consortium. Un système de gestion centralisé serait une cible trop évidente pour les hackers. L’organisation ne possédant pas de serveurs décentralisés dans diverses juridictions, les documents restent donc sur les serveurs ou ordinateurs des membres. Les utilisateurs enregistrent dans le système seulement quelques informations permettant aux autres de faire le lien avec leur enquête.

L’utilisateur qui cherche une information tape quelques mots clefs dans le moteur de recherche. Si sa requête aboutit, il peut contacter ses collègues – dont il ne connaît toujours pas l’identité- possédant des documents potentiellement intéressants via un système de « bulletin » qui lui permet de diffuser son message à tous. Les recherches sont envoyées cryptées à tous les utilisateurs. Si des informations concordent, le demandeur reçoit une alerte et décide s’il souhaite entrer en communication et éventuellement échanger des informations. « Étant donné les différents fuseaux horaires et le fait que certains membres n’ont accès à internet que quelques heures par jour, il était important que la recherche et les réponses puissent se faire de manière non synchronisée », souligne Carmela Troncoso, directrice du SPRING. Un autre système de messagerie également sécurisé et anonyme permet ensuite des échanges bilatéraux.

Article complet et source : EPFL

L’intelligence collective et la veille technologique pour faire face aux défis de la cyberdéfense

Pour faire face à l’accélération de l’évolution des cyber-menaces, les systèmes d’information et leurs usages doivent être adaptés en permanence. Cette anticipation est, et sera encore longtemps, un privilège et une responsabilité des humains. Les responsables de la sécurité doivent donc trouver des solutions pratiques à des problèmes complexes, dans un temps de plus en plus court, et si possible avant la matérialisation des menaces. Dans cet article, nous proposons de mobiliser l’intelligence collective humaine afin d’assurer un niveau de résilience satisfaisant face aux incertitudes liées à l’anticipation des cyber-menaces. Nous considérons que le système de milice suisse représente une chance unique pour déployer une approche bottom-up d’intelligence collective et de veille technologique. Enfin nous proposons trois axes stratégiques de préparation et illustrons notre propos à l’aide des projets Crowd-GPS-Sec et STM, développés par armasuisse.

RMS-2020-03-LINKEDIN

Source : RMS