Schweizerische Eidgenossenschaft Prepose federal ä la protection des donnees et ä la transparence
Confederation suisse PFPDT
Confederazione Svizzera
Confederaziun svizra
Rapport final et recommandations
du Prepose federal a la protection des donnees et a la transparence
(PFPDT)
du 4 aoüt 2021
dans le cadre
de la procedure d'etablissement des faits selon l'article 29
de la Loi federale sur la protection des donnees du 19 juin 1992
(LPD ; RS 235.1)
concernant
l'application « SocialPass »
de SwissHelios Sari, a Oberlunkhofen
et NewCom4U Sari, a Sierre
representees par Lexing Switzerland, 1951 Sion
Uusqu'au 14 juin 2021)
Feldeggweg 1, 3003 Berne
Tel. 058 463 74 84, Fax 058 465 99 96
www.edoeb.admin.ch
0
Table des matiëres
1. Introduction........................
1.1 . Remarques prëliminaires ......
1.2. Situation de dëpart...
1.3. Parties impliquëes ...............
1.4. Chronologie
desëvënements
.............................. .. 7
1.5. Portëe de la procëdure d’ëtablissement des faits. 10
1.6. Bases de l’ëtablissementdes faits.. 11
1.7. Analyses effectuëesdans le cadre de la prësente procëdure. 12
1.8. Bases lëgales. 13
1.9. Compëtence du PFPDT.. 13
2. Faits ëtablis 13
2.1 . Röles et responsabilitës....... . 13
2.2. Composants et fonctions ..... , 14
2.2.1 . ApeQU .......................... 14
2.2.2. Description du processus d'enregistrement ...., 15
2.2.3. Fonctions de SocialScan .....,... . 17
2.2.4. SocialPass : enregistrement et utiËisation 17
2.2.5. Base de donnëes centralisëe . 19
a. Gënëralitës............................, 19
b. Accës des autoritës cantonales aux coordonnëes des clients .. , 20
2.3. But de la collecte des donnëes.......... 23
2.4. Description des diffërents modes de fonctionnement. 24
2.4.1. SocialScan : saisie manuelle (enregistrement des clients rëguliers) . 24
2.4.2. Stockage des numërosde tëlëphone mobileissus du processus d’e lregistrement . 26
2.5. Services de tiers ............................... 26
2.5.1 . Infomaniak .. 26
2.5.2. Twilio ......................................., 26
2.5.3. MicrosoftAzure (base de donnëes SQL) .... 27
2.6. Information et droits des personnes concernëes.., 27
2.6.1 . Information des utilisateurs ................. , 27
2.6.2. Droits des personnesconcernëes ...... 28
a. Exercice du droit d’accës . 28
b. Exercice du droit ä l’effacement des donnëes....................................., 28
2.7. Aspects de sëcuritëdes donnëes.. 28
2/62
0
2.7.1. Organisation de la sëcuritë de 1’information 28
2.7.2. Login avec double-authentification 29
2.7.3. Identifiants de I'utilisateur ..........., 29
2.7.4. Gëolocalisation ..........................., 29
2.8 Analyse de 1’auditde Navixia SA , 29
2.8.1. Interaction avec la plateforme (6.2.6 et 6.3.6) 31
2.8.2. Qualitë du code et packaging (6.3.7) 32
2.8.3. Descripteur
(7.1)..............................., 32
2.8.4. Mots de passe stockës en clair (7.1 ) 32
2.8.5. Conservation des donnëes (8.4.1). 32
2.9. Analyse de I'audit d’lndusface .................... 33
2.9.1 . Classification ......., 33
2.9.2. Rësultats en fonction des catëgories .. 34
2.9.3. Android et iOS Mobile . 34
2.9.4. Conclusions de I'audit Indusface .., 36
a. Blind HTML Injection [1].., 36
b. InsecureDirectObjectReferences [2]..., 36
c. Insecure Logging Of The Application [4] 36
d. Application is Vulnerable To Improper Token Management [5] .. . 36
e. ApplicationAccepts Special Character As User Input[6]. 37
f. ValidAccountCan Be BruteForced[7]............................... 37
g. Missing API Rate Limiting[8] ........, 37
h. Application Does Not Have A Strong Password Policy [9] 37
i. Cleartexttraffic is Set To True [11] 37
j. Application is Vulnerable To Simultaneous Login [12] ................ 37
k. Application's Request/Response Reveals Sensitive Information[13] 37
1. SSL Pinning Can Be Bypassed [14] ..........................................., 38
m Insecure Data Storage in File System [15]. , 38
n. Insecure Content Security Policy (Csp)/X-Frame-Options [16] ... 38
0. Missing HSTS Header [17] ., 38
P. InformationLeakage From Clipboard [18].., 38
q. Sensitive Data Disclosure in Recent Apps [19] .... 38
r. ApplicationHas Set Insecure Permissions [21] 38
3, Apprëciation juridique et recommandations ... 39
3.1 Röles et responsabiIËtës... , 39
3/62
0
3.2. Banque de donnëes centralisëe .................... 41
3.2.1. Banque de donnëes centralisëe stricto sensu ......... 41
3.2.2. Divers droits d'accës ä la base de donnëe centralisëe / fonctions de filtres 43
3.3. Option « saisie manuelle » ..................,.............. 47
3.4. Transferts des numëros de tëlëphone aux Ëtats-Unis ... . 48
3.5. Stockage centralisë et permanent du numëro de tëlëphone mobile dans le processus
d'enngistnment .................................................................................................................... 49
3.6. MicrosoftMun (base de donnëesSQL) .............................................................................. 50
3.7. Divers aspects de sëcuritëdes donnëes............................................................................... 50
3.7.1. Gestion des vulnërabilitës.............................................................................................. 51
3.7.2. Mise en placed’uneauthentification
forte.................................................,................... 51
3.7.3. Utilisation disproportionnëe d'identifËants...................................................................... 51
3.7.4. Organisation et documentationrelatives ä la sëcuritë des donnëes . ............................ 52
4. Prises de position des parties ........................................................................................................ 53
4.1. Remarques prëliminaires relatives au droit d’ëtre entendu ................................................... 53
4.2. Prise de positiondes parties relative aux faits ëtablis Ie 20 mai 2021 .................................. 53
4.3. Prise de positiondes parties relative au rapport final et aux recommandations du 28 mai
2021 ....................................................................................................................................... 54
4.3.1. Recommandation (1) concernant les röles et les responsabilitës ................................. 54
4.3.2. Recommandation(2) concernant Ia base de donnëes centrale.................................... 55
4.3.3. Recommandation (3) concernant Ia liste des clients rëguliers SocialScan .................. . 55
4.3.4. Recommandation (4) concernant Ie service de vërËficationdes numëros.................... . 56
4.3.5. Recommandation (5) concernant l’enregistrement centralisë et permanent du numëro
de tëlëphonemobiledans le processus d'enregistrement............................................ 57
4.3.6. Recommandation (6) concernant la configurationet le renforcement de Microsoft Azure
58
4.3.7 Recommandation (7) concernant la gestion des vulnërabilitës..................................... 58
4.3.8. RecommandatËon(8) concernant la mise en place d'une authentificationforte ............ 59
4.3.9, Recommandation (9) concernant le traitement des identifiants d'appareils.................. 59
4.3.10, Recommandation (10) concernant la documentation relativeä la sëcuritë des donnëes
5. Conclusion ,.... 60
6. Suite de la procëdure ................... ,..... 61
7. Publication de la recommandation en vertu de I'art. 30 al. 2 LPD ..61
4/62
0
1. Introduction
1.1. Remarques prëliminaires
Le Prëposë fëdëral ä la protection des donnëes et ä la transparence (PFPDT) ëtablit les faits d’office ou
ä la demande de tiers lorsqu'une mëthode de traitement est susceptible de porter atteinte ä la
personnalitëd'un nombre importantde personnes (erreur de systëme ; art. 29 LPD).
La prësente procëdure a pour but de permettre au PFPDT de vërifier si les principes de la protection
des donnëes tels que fixës aux articles 4 et 7 LPD et les prescriptions sanitaires en matiëre de tra9age
sont respectës dans lecadre de l’exploitationet l’utilisationdu systëme SocialPass.
1.2. Situation de dëpart
Dans Ie but de mieuxluttercontrela pandëmiede COVID-19,le Conseilfëdërala prëvudans
l’Ordonnance sur les mesures destinëes ä luttercontre l’ëpidëmie de COVID-19 en situation particuliëre
du 22 juin 2020 (Ordonnance Covid-19 situation particuliëre ; RS 818.101.26) que les exploitants
d’installations ou d'ëtablissements accessibles au public doivent cotlecter les coordonnëes des
participants ou des visiteurs. La collecte des coordonnëes (donnëes personnelles au sens de 1’art.3
lit.a LPD) a pour but de pouvoir retracer des cas d’ëventuelles infections au sein d’un restaurant ou de
tout autre ëtablissementou ëvënementaccessible au public. Ä cette fin, les exploitantset les
organisateurs sont tenus de collecter le nom, le prënom, le domicile et le numëro de tëlëphone de leurs
clients (ch. 4.4. lit. a de l’Annexe 1 Ordonnance COVID-19 situation partËculiëre). L’art. 5 Ordonnance
COVID-19 situation particuliëre prëcise que les personnes concernëes doivent ëtre informëes de cette
coIËecte de donnëes et du but de l’utilisationde leurs donnëes (tragage des contacts). Les coordonnëes
doiventëtre immëdiatementtransmises par voie ëlectronique au service cantonal compëtent s’iI en fait
la demande aux fins d’identificationet d’information des personnes prësumëes infectëes au sens de
1’art.33 de la Loi sur les ëpidëmies (LEp ; RS 818.101). De surcroit, l’Ordonnance situation particuliëre
fixe que les coordonnëes collectëes ne peuvent pas ëtre utilisëes ä d'autres fins que celle du tra9age et
qu'elles doivent ëtre conservëes durant les 14 jours suivant Ia visite de l’ëtablissement puis
immëdiatementdëtruites.
Afin de faciliter la collecte desdites donnëes dans le cadre de la lutte contre la pandëmie, les sociëtës
SwissHelios et NewCom4U ont dëveloppë SocialPass. Ce systëme est composë essentiellement de
trois composants : 1’applicationSocialPass peut ëtre tëlëchargëe sur l’appareil mobile des clients et
visiteurs tandis que 1’applicationSocialScan est utilisëe par les ëtablissements accessibles au public
comme p.ex. les restaurants. Les donnëes sont ensuite stockëes sur une base de donnëes centrale
Dans le cadre de la prësente procëdure le terme < SocialPass » fera rëfërence - sauf mention contraire
– au systëme entier, englobant notamment les applications mobiles SocialPass et SocialScan ainsi que
la base de donnëes centralisëe.
5/62
0
Ä partir du mois dejuillet 2020, le PFPDT a regu plusieurs demandes de citoyens ainsi que des mëdias
suggërant que les traitements de donnëes tels que prëvus par SocialPass violeraient potentiellement le
cadre lëgalprëvu par la LPD et les prescriptionssanitaires en matiërede tra9age. Dans le cadre de sa
fonctiond’autoritëde surveillance,le PFPDT a alors pris contactavec les responsables de ladite
applicationen novembre 2020. Cette prise de contact devait permettreau PFPDT de vërifier si les
critiques ëmanant de la sociëtë civile d'une part et de la presse d’autre part ëtaient fondëes. Dans Ie but
d'apporter des rëponses plus prëcises aux questions soulevëes lors de la premiëre prise de contact en
automne 2020, le PFPDT a ouvert, en dëcembre 2020, une procëdure d'ëtablissement des faits selon
1’art.29 LPD, d’abord ä l’encontrede la SwissHelios Särl, puis ä l’encontre de la NewCom4U Särl. Les
deux procëdures ont ëtë formellementjointes Ie 4 mars 2021.
1.3. Parties impliquëes
Les personnes physiques et morales ayant un röle dëterminantdans la prësente procëdure
d’ëtablissement des faits sont les suivantes
Exploitants de SocialPass:
SwissHelios Särl, Wiesenstrasse 7a, 8917 Oberlunkhofen, agissant par M. Erwin Peter, associë et
prësident des gërants et M. Julio Salgado, associë et gërant ;
NewCom4U Särl, Technopöle 3, 3960 Sierre, agissant par M. Thierry Pilet, associë et gërant ;
reprësentëes par Me Sëbastien Fanti, Me Gëraldine Gianadda et Me Alexandre Staeger. avocats au
sein de I'ëtude Lexing SwitzerlandSärl, Rue de Prë-Fleuri 8B, 1951 Sion
Responsables du dossier auprës du PFPDT :
NathalieWeber, Cheffe Team 1, Domaine de direction protection des donnëes
MyriamChrist, Juriste Team 1, Domainede directionprotectiondes donnëes
Fritz von Allmen, Spëcialiste en sëcuritë informatique, Centre de compëtence IT et Sociëtë numërique
Michael Burger, Spëcialiste en sëcuritë informatique, Centre de compëtence IT et Sociëtë numërique
6/62
0
1.4. Chronologie des ëvënements
Juillet-Oct. 2020 Plusieurs indices de la part de la sociëtë civile, des mëdias et de la Fëdëration
romande des consommateurs par rapport ä des traitements de donnëes effectuës
par I'applicationSocialPass potentiellementcontrairesau cadre lëgal.
23.10.2020 Prise de contact par le PFPDT par ëcritaprës un ëchange tëlëphoniqueavec
SwissHelios Särl Ie 23.10.2020, demande de prëcisions quant ä la confidentialltë
et la sëcuritë des donnëes et la double authentification.
03.11.2020 Courrieldu PFPDT ä SwissHelios Särl concernantla demande du 23.10.2020
restëe sans rëponse, questions complëmentaires avec dëlai de rëponse jusqu'au
09.11.2020.
03.11.2020 Demande de SwissHelios Särl de mettre le cabinet d'avocats Lexing Switzerland,
Sion en copie.
09.11.2020 Courriel de Lexing Switzerland informant le PFPDT d’intervenir pour SwissHelios
Särl, demande d’adresser toute correspondance ultërieureä Lexing Switzerland
(ëlection de domicile en l’ëtude Lexing Switzerland).
09.11.2020 Courrielde SwissHeliosSärl au PFPDT, complëmentaux rëponses re9ues par
Lexing Switzerland, NewCom4U Särl fait sa premiëre apparitiondans la prësente
affaire et lit ce courriel en copie.
10.11.2020 Courriel du PFPDT ä SwissHelios Särl, accusë de rëception des rëponses
sommaires, reprise de contact prëvue aprës ëvaluation interne des rëponses
regues.
10.11.2020 Courriel de SwissHelios Särl d'adresser toute communication ultërieure
directement ä SwissHelios Särl
11.11.2020 Courriel du PFPDT ä Lexing Switzerland de la demande de SwissHelios Särl de
communiquerdirectement avec SwissHelios.
26.1 1.2020 (_,ourrieldu PFPDT ä SwissHeliosSärl et NewCom4USärl demandantdes
prëcisions jusqu’au 04.12.2020.
07.12.2020 Courrieldu PFPDT ä SwissHeliosSärl et NewCom4USärl, rappel suite ä la
demande du 26.11.2020 restëe sans rëponse, rëponse par NewCom4U Särl
faisant valoir des problëmes linguistiques.
08.12.2020 Courriel du PFPDT ä SwissHelios Särl et NewCom4U Särl concernant les
problëmes linguistiquesmis en avant par les exploitants.
18./23.12.2020 Courrierecommandë
(avec copie prëalablepar courriel)du PFPDT ä
SwissHelios Särl (Ie 18.12.2020) et ä NewCom4U Särl (Ie 23.12.2020), demande
7/62
0
de prëcisions du 26.11.2020 restëe sans rëponse, ouverture de la procëdure
d’ëtablissement des faits selon l’art. 29 LPD
11.01.2021 Courriel de Lexing Switzerland au PFPDT demandant une prolongation du dëlai
de rëponse, prolongationaccordëe par le PFPDT par courriel du 12.01.2021.
14.01.2021 Courriel de Lexing Switzerland au PFPDT, envoi de trois documents (Privacy and
Cookies Policy – socialpass – 14102020.docx; Rapport technique SocialPass
14.01.2021. pdf ; Rëponses aux questions – PFPDT.docx)
15.01.2021 Courrielde LexingSwitzerlandau PFPDT, envoid'une procuration(incomplëte[
26.01.2021 Courriel de Lexing Switzerland au PFPDT, envoi d’une procuration (complëte)
pour le compte de NewCom4U Särl.
29.01.2021 Ëchange tëlëphonique entre SwissHelios' Särl et le PFPDT concernant la
reprësentation de SwissHelios Särl par Lexing Switzerland.
03.02.2021 Courriel du PFPDT ä Lexing Switzertand, accusë de rëception des documents
re9us, dëlai pour soumettre les documents manquants fixë au 10.02.2021.
09.02.2021 Courriersdu PFPDT ä Lexing Switzerfandet ä SwissHeliosSärl, avis relatifä la
jonction prëvue des procëdures, soumission de questions supplëmentaires
(responsables des traitements de donnëes, dëtails sur le transfert des numëros
de tëlëphone aux Etats-Unis), dëlai de rëponse fixë au 17.02.2021.
11.02.2021 Courriel de Lexing Switzerland au PFPDT, soumission de deux rapports d’audit.
18.02.2021 Courrier de Lexing Switzerland au PFPDT, demande de prolongation de dëlai
19.02.2021 Courrier du PFPDT ä Lexing Switzerland, prolongationde dëlai accordëe, au
26.02.2021 pour la question de la jonction de procëdure, au 05.03.2021 pour les
rëponses aux questions supplëmentaires.
04.03.2021 Courriers du PFPDT ä Lexing Switzerland et ä SwissHelios Särl, avis relatif ä la
jonctiondëfinitivedes procëdures,demande de prëcisions,demande de divers
documents manquants, questions supplëmentaires sur divers aspects restës peu
clairs, dëlai fixë au 17.03.2021 (entrant).
05.03.2021 Courrierde LexingSwitzerlandau PFPDT, avec des rëponses sur la question du
maTtredu fichier(SwissHelios Särl) et concernant le transfertdes numëros aux
Etats-Unis.
17.03.2021 Courrier de Lexing Switzerland au PFPDT, confirmant d’intervenir au nom et pour
Ie compte de NewCom4U Särl et de SwissHelios Särl (une procuration serait
fournie ultërieurement), comprenant un nombre d’annexes et de rëponses aux
questions posëes.
19.03.2021 Courriel de NewCom4U Särl au PFPDT, envoi du rapport Navixia.
8/62
0
22.03.2021 Courriel de Lexing Switzerland au PFPDT prëcisant que SwissHelios Särl estime
qu’une procurationformelle n’est pas nëcessaire, confirmationqu’aucun autre
document ëtait disponible.
25.03.2021 Courriel de NewCom4U Särl au PFPDT soumettant quelques informations
actualisëessur SocialPass.
07.04.2021 Courrier du PFPDT ä Lexing Switzerland, recommandation provisoire d'adapter
au plus vite les possibilitës de traitements de maniëre ä ce qu'il soit possible
d’exploiter l’applicationen conformitë avec le droit fëdëral (avant la rëouverture
des restaurants).
21.04.2021 Courriel du PFPDT ä Lexing Switzerland, le courrier du 07.04.2021
(recommandationsprovisoires) ëtant restë sans retour demande de confirmer
jusqu’au 26.04.2021 que les fonctions de recherches cibËëes seront adaptëes
ainsi que comment et dans quel dëlai cela serait fait.
23.04.2021 Courrier de Lexing Switzerland informantle PFPDT que la recommandation
provisoire ne sera pas suivie, soumissionde divers documents.
20.05.2021 Courrier du PFPDT ä Lexing Switzerland, notification des faits ëtablis
provisoirement et possibilitë de prësenter des remarques aux faits ëtablisjusqu’au
27.05.2021 (entrant) mentionnant qu’au vu de la rëouverture probable de
l’intërieurdes restaurants Ie 31.05.2021, une prolongationde dëlai ëtait exclue.
21.05.2021 Courrier de Lexing Switzerland au PFPDT, demande de prolongationde dëlai de
rëponse d’au moins 30 jours.
25.05.2021 Courrier du PFPDT ä Lexing Switzerland, refus de la demande de prolongation
de dëlai notantque des remarques pourronttoujoursëtre faites dans le dëtai
imparti.
27.05.2021 Courrierde LexingSwitzerland
au PFPDT,demandede rëcusationdes
collaborateurs en charge du dossier.
28.05.2021 Courrier du PFPDT ä Lexing Switzerland, dëcision de non-entrëe en matiëre par
rapport ä la demande de rëcusation (et notificationde la dëcision aux
Commissions de gestion des Chambres fëdërales en tant qu’autoritë de
surveillance du PFPDT).
28.05.2021 Courrier du PFPDT ä Lexing Switzerland, clöture et notification du rapport final
et des recommandations, les parties disposent d'un dëlai de 30 jours pour
prendre position
01.06.2021 Courrielde GastroVaud,GastroValais et les exploitantsde SocialPass adressë
au PFPDT, aux Prëposës cantonaux vaudois et valaisans et aux Mëdecins
cantonaux vaudois et valaisans, proposition d’une visËoconfërence.
9/62
0
07.06.2021 1ë’' visioconfërence organisëe par GastroVaud ä laquelle participent, entre autres,
les exploitantsde SocialPass et teur avocat (agissant ëgalement en tant que
Prëposë valaisan ä la protection des donnëes), une reprësentante de la Prëposëe
ä la protectiondes donnëes du canton de Vaud, les mëdecins cantonaux vaudois
et valaisans et le Prëposë fëdëral, M. Adrian Lobsiger, aËnsi que trois
reprësentants de son autoritë. Proposition d’une dëmonstration du systëme par
les exploitantsde SocialPass dans le cadre d’une deuxiëmevisioconfërence.
08.06.2021 Courrierdu PFPDTä LexingSwitzerland
rësumant
les rësultatsde la
visioconfërence du 07.06.2021.
14.06.2021 Courrierde LexingSwitzerlandau PFPDT notifiantIa fin du mandat de Lexing
Switzerland dans la prësente procëdure.
18.06.2021 Courriel de SwissHelios Särl au PFPDT par rapport ä une dëmonstration du
systëme, demande de prolongation de dëlai de 30 jours pour commenter le
rapport final, la demande de rëcusation du 27.05.2021 est retirëe.
24.06.2021 2ë’"' visioconfërenceorganisëe par les exploitantsde SocialPass ä laquelle ont
participë,entre autres, les collaborateursdu PFPDT en charge du dossier, les
mëdecins cantonaux vaudois et valaisans, la prëposëe cantonaFevaudoise et le
reprësentant lëgal de GastroVaud.
29.06.2021 Courrierdu PFPDT ä SwissHelios Särl et NewCom4USärl, confirmationde la
prolongation de dëlai jusqu'au 16.07.2021.
09.07.2021 Soumission de la prise de position des exploitants de SocialPass.
04.08.2021 Clöture de la procëdure d’ëtablissement des faits et notificationdu rapport
final complëtë, avis de la publication du prësent rapport sur Ie site internet du
PFPDT
1.5. Portëe de la procëdure d’ëtablissement des faits
La prësente procëdure a pour but de permettre au PFPDT de vërifier si les principes de la protection
des donnëes tels que fixës notammentaux articles 4 et 7 LPD ainsi que les prescriptions sanitaires en
matiërede tra9agesont respectëesdans le cadre de la gestionde SocialPass.
Les analyses portentessentiellementsur la question de savoir quels traitementsde donnëes sont
effectuës par SocialPass. II convient de distinguer ces traitements du traitement (ëventuellement plus
ëtendu) de donnëes effectuëpar les ëtablissements accessibles au publicet de l’ëventueltraitement
ultërieurpar les autoritës cantonales compëtentes (en cas d’infection au COVID-19).
La prësente procëdure porte essentiellement sur le traitement des donnëes des visiteurs
d’ëtablissements ou d’ëvënements ; Ë'applicationSocialScan, utilisëe par les ëtablissements, n'est
10/62
0
incluse dans la prësente procëdure que dans la mesure oü elle est pertinente au regard des donnëes
des visiteurs.
Dans cette perspective, le PFPDT examine les aspects suivants du traitement des donnëes dans le
cadre de I'utilisationde I'applicationSociatPass :
Quels sont les types de traitements de donnëes effectuës par SocialPass ?
Quelles sont les catëgories de donnëes personnelles traitëes dans le cadre de l’utilisationde
SocialPass ?
Qui traite les donnëes ?
Dans quel but les donnëes sont-elles traitëes, pour quelle durëe ?
Quellesmesures de sëcuritë et de protectiondes donnëes ont ëtë mises en place ?
Les traitements
de donnëeseffectuëslors de la visitedu site web www.socialpass.ch
ne font
expressëment pas l’objet de la prësente procëdure. De mëme, les traitements de donnëes effectuës
lors du tëlëchargement de 1’applicationSocialPass ou SocialScan dans I'AppStore ou dans le PlayStore
ne sont pas analysës dans le cadre de la prësente procëdure. Les composants du systëme < CRM > et
les sites web des deux entreprises SwissHelios et NewCom4U n'ont pas non plus ëtë examinës en
profondeur. II est apparu, lors de I'examen initial, que ces composants ne sont pas directement
impliquësdans le traitementdes donnëes des personnes concernëes, respectivement qu'il n’existe pas
d'interfacesou de fluxde donnëes vers les coordonnëes collectëes.
1.6. Bases de l’ëtablissement des faits
Le PFPDT s'appuie sur les sources suivantes pour la prësente procëdure d’ëtablissementdes faits:
Informations accessibles au public, notamment sur Ie site web www.socialpass.ch et dans
I'AppStore (iOS) et le PlayStore (Android) ;
Correspondance avec les reprësentants de SwissHelios et NewCom4U depuis l’automne
2020 ;
Rapports d’audits et documents supplëmentaires fournis par les parties selon Ie tableau ci-
dessous.
Audits
Tableau 1: Rapports d’audit
RaI>port d’audit Auteur Date
[A] GVD7009 Recheck SocialPass_SocialScanv1.2.pdf Navixia 18.03.2021
[B] iOS Mobile Application Audit Report of Social Scan Indusface 04.1 1.2020
v1.0.pdf
11/62
0
[c] Android MobileApplicationAudit Report of Social Indusface 04.11.2020
Scan v1.0.pdf
Documents supplëmentaires
Tableau 2: Documents rëfërencës complëmentaires
Document Auteur Date
[D] Rapport technique SocialPass 14.01.2021.pdf L. Miceli 14.01.2021
[E] Fanti Diagramme.pptx S. Fanti 09.1 1.2020
[F] SocialPass - SocialScan Uebersicht - d.pdf SocialPass 09.1 1.2020
[G] Rëponses aux questions PFPDT 17032021 - scan.pdf A. Staeger 17.11.2021
[H] 2021 03 11 QuestionnaireTechniqueVI.pdf L. MËceli 17.03.2021
[1] Azu re-Sentinel-whitepaper.pdf Microsoft 17.03.2021
[J] Privacy and Cookies Policy - socialpass - SwissHelios 10.10.2020
14102020.docx
[K] 2021 03 11 QuestionnaireTechnique.docx PFPDT 1 1.03.2021
Ä plusieurs reprises le PFPDT s’est adressë aux exploitantsde 1’applicationpour savoir si d'autres
informations et documents pertinents ëtaient disponibles pour assurer le meilleur dëroulement possible
de la prësente procëdure. Le PFPDT souhaitait notamment savoir quels composants du systëme
avaient fait l’objet de contröles de sëcuritë, le cas ëchëant par des spëcialistes externes, et s'il existait
des rësultats documentës, par exemple sous la forme d'ëvaluations de sëcuritë et de rapports de
vulnërabilitë
En dehorsdes documents mentionnësdans ce sous-chapitre, les exploitantsde 1’application
ont assurë
Ie PFPDT qu'aucunexamende ce type (par exemple pour le stockage de donnëes chez Microsoft
Azure) n'a ëtë effectuë et qu'ils ëtaient donc dans l’impossibilitëde transmettreles rësultats d'un tel
examen au PFPDT.
1.7. Analyses effectuëesdans le cadre de la prësente procëdure
L’analyse technique de I'applicationSocialPass du PFPDT s’appuie sur les rapports d’audit des
entreprisesIndusface du 4 novembre2020 et Navixia du 18 mars 2021 ainsi que sur les documents
supplëmentairessoumis au PFPDT par les reprësentants des sociëtës SwissHelios et NewCom4U.
Lesdits rapports d’audit ont ëtë rëdigës entre les moËs d'octobre 2020 et mars 2021,
Aucune inspectiondes lieux en compagnie des responsables de SocialPass n’a eu Ëieu.Ainsi, toutes
les informations- tant de nature technique que juridique – qui ont ëtë jugëes dëterminantes pour
l’ëtablissementdes faits ont ëtë exigëes des reprësentants lëgaux des sociëtës SwissHelios et
NewCom4U par ëcrit. Les questions du PFPDT s’appuyaient sur le cadre lëgal tel que prëvu par la LPD
12/62
0
et les prescriptionssanitairesen matiërede tragage, la norme ISO 27002ainsi que sur 1’OpenWeb
ApplicationSecurity Project (OWASP)
1.8. Bases lëgales
Les bases lëgales suivantes sont pertinentesdans le cadre de la prësente procëdure :
Loi fëdërale du 19juin 1992 sur la protection des donnëes (LPD), RS 235.1
- Ordonnance du 14juin 1993 relativeä la lotfëdërale sur la protectiondes donnëes (OLPD),
RS 235.11
Loi fëdërale sur la luttecontre les maladies transmissibles de I'homme (Loi sur les ëpidëmies,
LEp), RS 818.101
Ordonnance sur les mesures destinëes ä luttercontre l’ëpidëmie de COVID-19 en situation
particuliëre du 19 juin 2020 (Ordonnance COVI D-19 situation particuliëre), RS 818.101.26
1.9. Compëtence du PFPDT
En vertu de 1’art.2 al. ler LPD, la LPD rëgit le traitement de donnëes concernant des personnes
physiques et morales effectuë par des personnes privëes (physiques ou morales). La prësente
procëdure d’ëtablissement des faits se penche sur diffërents traitements de donnëes effectuës par des
entitës privëes, notamment la collecte puis l’enregistrement des coordonnëes des visiteurs effectuës
par les exploitants d'ëtablissements ouverts au public dans le cadre de la lutte contre la pandëmie du
(_,OVID-19. Dës lors, la collecte des coordonnëes des visiteurs teIle que prëvue par l’Ordonnance
COVID-19 situation particuËiëreest une activitë privëe soumise ä la LPD et par consëquent ä la
surveillance du PFPDT. Au contraire, le traitement des donnëes (ultërieur) par les autoritës cantonales
(mëdecin cantonal, directionde la santë publique, ëquipe de tragage) tombe sous la surveillance des
prëposës cantonaux respectifs
2. Faits ëtablis
2.1. Röles et responsabilitës
Fort,e est de constater qu’au bas du site web www.socialpass.ch consacrë ä 1’informationdes
citoyennes et citoyens, les coordonnëes de Swisshelios Särl ainsi que celles de HotelPro4U (produit de
marketingdëveloppë par la sociëtë NewCom4U Särl) sont mentionnëes. Ainsi, sur Ie site web, les deux
sociëtës apparaissent comme co-ëditricede 1’applicationSocialPass. Le fait qu’iI s’agit d’une coëdition
semble ëtre confirmëpar les conditionsgënërales SocialPass et SocialScan (cf.
https://www.socialpass.ch/termes-et-conditions/,
versiondu 17 avril2021,ch. 1). En vertu du ch. 3 de
13/62
0
la dëclaration de confidentialitë– ëgalement disponible sur Ie site web1 – NewCom4U Särl est l’unique
sociëtë responsable du traitementet maTtredu fichier.
De surcroTt,et dans l’AppStore et dans le PlayStore, SwissHelios GmbH est mentionnë comme unique
distributeurde SocialPass.
Enfin, dans leur courrier du 26.04.2021, les reprësentants des exploitants de SocialPass font rëfërence
ä plusieurs documents selon lesquels les exploitants de SocialPass ont ëtë mandatë par le canton du
Valais et GastroVaud respectivement. Sur la base de la documentation ä notre disposition, GastroVaud
aurait mandatë SwissHelios Särl alors que le canton du Valais aurait mandatë NewCom4U Särl pour
l’exploitation de SocialPass
2.2. Composants et fonctions
2.2.1. AperQU
Le systëme SocialPass se base essentiellement sur une application pour les entreprises (SocialScan,
cf. chapitre2.2.3), une applicationpour les utilisateurs(SocialPass, cf. chapitre2.2.4) et une base de
donnëes centrale (cf. chapitre 2.2.5). Un apergu du fonctionnementde SocialPass sous forme d’un
schëma est ä disposition sous https://www.socialpass.ch/comment-cela-fonctionne/ (ëtat au
08.05.2021).
Les exploitantsde 1’application
SocialPass ont mis ä dispositiondu PFPDT la figure 1. Cette figure a
servi de base pour 1’analysetechnique. Par la suite, notammenten raison du dëveËoppementde
I'application,I'illustrationa ëtë complëtëe.
Pour la collecte des coordonnëes des visiteurs, le systëme SocialPass prëvoit deux possibilitës :
Gräce ä 1’application
SocialPass le visiteurscanne un code-QR imprimë.
L'exploitantde I'ëtablissementaccessible au publicscanne le code-QR des visiteurs. Le
schëma suivant illustrela deuxiëme possibilitë de collecter les coordonnëes des visiteurs.
1 https://www.socialpass.ch/mentionslegales/
14/62
MIt 2864)A
Schhrs8el
geskhed
BetrIeb Gesicherte Datenbank
Social&an
Gesicherter
Direktzugang
Information
Instruktion
Gast 2 - n
§ocialPass
Figure 1: Schëma tel que figurant dans Ie document SocialPass-SocialScan Uebersicht-d.pdf
2,2.2. Description du processus d’enregistrement
(1) Aprës avoir installë I'application,celle-ci est ouverte et aprës avoir sëlectionnë la langue
appropriëe (allemand, anglais, fran9ais, italien ou espagnol), les eonditionsd'utilisation, y
compris la dëclaration de confidentialitë,apparaissent. Celles-ci peuvent ëtre soËtacceptëes
soit rejetëes.
(2) Aprës avoir acceptë les conditions d'utilisation, I'utilisateur doit saisir son numëro de
tëlëphone. Ensuite, un masque d'enregistrement apparait, dans lequel il doit impërativement
indiquer son nom, son prënom et son code postal. II importe peu que les donnëes soient
correctes ou non, ä I'exceptiondu numëro de tëlëphone.
(3) En cliquant sur < inscription», les donnëes spëcifiëes sont envoyëes ä « Twilio > (service tiers
amëricain). Au cours de ce processus, un code QR est gënërë et stockë sur l’appareil mobile
de l’utilisateur.Cela signifiequ'un visiteur d'un ëtablissement (par exemple d’un restaurant)
peut soit faire scanner ce code QR par le personnel du restaurant (possËbilitë2), soit scanner
un code QR sur la table (avec le numëro de la table) – processus qui correspond ä la
premiëre possibilitëdëcrite ci-dessus. II est ëgalement possible d’enregistrer des personnes
qui n'ontpas 1’application
SocialPass via la saisie manuelle(cf. chapitre2.4.1), par exemple
parce qu’elles n'ont pas d’appareil mobile.
(4) Les donnëes sont ensuitecryptëes et transfërëes directementvers une base de donnëes SQL
centrale (Microsoft Azure), qui est hëbergëe par Microsoft en Suisse. Cela permet aux
traceurs autorisës d'accëder directement aux donnëes afin de prëvenir les personnes
potentiellement infectëes
15/62
0
(5) Le fait de quitterun ëtablissement (saisi par un autre scan) est ëgalement enregistrë et
transfërëdans Ia base de donnëes.
Processus documentationvisites
TOb4B
8
c08yr#cabcxt
d 6hckß9e
en
Oruanbateurs
natIon
Instruction - Quarantaine
Vlstteur 1 Vi$tteur82 . n Trageurs ae contact des
So GirlPass 1 o.-i’ !Pass mëdecins cantonaux
Si direct sëcuhtë par
autlrentlficatm
d(utie facteur
Figure 2: Schëma actualisë du mode de fonctionnement de SocialPass
(6) La figure 2 montre qu'un traceur peut accëder directement aux informations des visiteurs
potentiellement infectës sur la base de donnëes en utilisant une authentification ä deux
facteurs. En outre, les autoritës cantonales ont un accës direct aux donnëes enregistrëes
dans Ia base de donnëes Azure lorsque I'utilisationde I'applicationSocialPass est rendue
obligatoire par ces autoritës (cf. chapitre 2.2.5.b).
(7) La figure 2 montre ëgalement que l’accës des mëdecins cantonaux aux donnëes diffëre d’un
canton ä un autre. Selon le modële choisi, les exploitants d’ëtablissements accessibles au
public peuvent demander une liste d'informations sous forme de fichier Excel/PDF et la
transmettre aux traceurs ou si les traceurs peuvent accëder directement aux coordonnëes des
visiteurs.
16/62
0
2.2.3. Fonctions deSocialScan
Le composant SocËalScan est utilisë par un ëtablissement accessible au public (par exemple un
restaurant) pour enregistrer les coordonnëes des visiteurs et peut ëtre installësur les pIateformes iOS
et Android.
Lors de I'enregistrementd'un ëtablissementdans SocialScan dans Ie but de crëer un compte, les
donnëes suivantes sont collectëes (les champs obligatoires ëtant marquës par un *) :
«Organisation»*: restaurant, ëvënement, religion, prestations de service, restaurant Berne,
sport, gënëral – simple, famiIIe, chantier de construction, centre de formation, EMS ou
organisation partenaire
Nom*
Adresse*
Code postal*
Ville*
E-Mail*
Tëlëphone*
Nom de la personne responsabËe*
Mot de passe*
L’adresse mail et le mot de passe sont utilisës pour crëer un compte d’utilisateur
Les donnëes des ëtablissements sont traitëes ä deux fins diffërentes. D'une part, lors d'une visite dans
un ëtablissement accessible au public, les coordonnëes des visiteurs sont complëtëes avec les
donnëes portantsur l’ëtablissement, l’ëvënement, etc. puis transmises ä la base de donnëes centrale
aux fins de la collecte des coordonnëes des visiteurs/ä des fins de tra9age (contact tracing). D’autre
part, les donnëes sont transfërëes dans le systëme de gestion de la relation client (Customer
Relationship Management, CRM) de NewCom4U Särl. En fonction de I'abonnement conclu entre les
ëtablissementset les exploitantsde SocialPass, ce systëme gëre les processus de paiement pour
I'utilisationde I'application.
2.2.4_ SocialPass : enregistrement et utilisation
SocialPass est le composant utilisë par les clients d'un ëtablissement. L'applicationest gratuite et peut
ëtre utilisëesur les appareils iOS et Android
Aprës avoir tëlëchargë le composant SocialPass sur son tëlëphone mobileet acceptë la dëclaration de
confidentialitë (un document intitulë < SocialPass – SocialScan et la protection des donnëes >
consultable sous https://www.socialpass.ch/mentionslegales/; ëtat au 10.05.2021), l’utilisateur doit
17/62
0
indiquerson numëro de portablequi est ensuite vërifië. La vërificationse fait via le prestataire amëricain
< Twilio > (cf. chiffre 2.5.2), toutefois I'utilisateur n’en est pas informë.
L'utilisateur
re9oitun code de vërification
par SMS sur le numëroindiquëet procëdeensuiteä
< 1’enregistrement
du client>. A cette fin, iIdoit indiquer les donnëes suivantes (les champs obligatoires
ëtant marquës par un *) :
Nom*
Prënom*
Numëro de tëlëphone mobile* (repris du pas prëcëdent)
Code postal*
Date de naissance
Adresse
E-Mail
II convientde noter que la date de naissance constituaitun champ obligatoireau dëbut de la procëdure
d’ëtablissement de faits, ce qui a ëtë adaptë au cours de la procëdure.
Ä 1’exceptiondu numëro de tëlëphone (voir ci-dessus), les donnëes enregistrëes par l’utilisateur ne sont
pas vërifiëes. Elles peuvent en outre ëtre adaptëes ä tout moment. Lorsque l’utilisateurveut changer le
numëro de tëlëphone mobile indiquë lors de l’enregistrement, iI re9oit un nouveau code de vërification.
Les coordonnëes collectëes sont sauvegardëes localement sur l’appareil mobile de l’utilisateur.
Une fois l’inscription complëtëe, l’utilisateur dispose d’un code QR qui peut ëtre affichë sur son portable.
11peut ensuite montrer ce code ä l’exploitantde l’ëtablissement lorsqu’iI accëde audit ëtablissement.
L’expËoitantscanne alors Ie code QR gräce au composant SocialScan.
Le client peut ëgalement scanner lui-mëme, ä I'aide de 1’applicationSocialPass, un code QR fourni par
I'exploitantde l’ëtablissement accessible au public et I'utiliser pours’enregistrer. 11convient de noter que
dans cette deuxiëme hypothëse, iI n’est pas possible de vërifier si Ie code QR mis ä disposition par
l’exploitant
de l’ëtablissement
ne renvoiepas ä un contenudangereux,
puisqueI'application
ne
demande pas de reconfirmationavant de transmettre les donnëes aprës Ie scan du code QR
Quand Ie code QR de l’utilisateurest lu par un appareil de I'exploitantou que l’utilisateurscanne Ie code
QR mis ä disposition par I'ëtablissement, les coordonnëes des visiteurs enregistrëes, complëtëes par
les donnëes relativesä la visite dans I'ëtablissement(« dëtails de prësence dans une organisation »)
sont alors transfërëesdans une base de donnëes SQL (MicrosoftAzure, cf. chapitre2.5.3)
18/62
0
2.2.5. Base de donnëes centralisëe
a. Gënëralitës
Lors d'une visite, les coordonnëesdu visiteur(nom, adresse, email, numëro de tëlëphone, etc.) sont
combinëes avec les donnëes de I'ëtablissement accessible au public (nom, emplacement, table, etc.)
et Ie momentde la visite (checkin/ checkout) pour former un ensemble de donnëes. Cet ensemble de
donnëes (coordonnëes du visiteur/ donnëes de l’ëtablissement/ heures de prësence) est ensuite
transmis de maniëre cryptëe et stockë dans ia base de donnëes centrale d'Azure (Suisse Nord / Zurich).
Les interfaces de programmation API (Application Programming Interfaces) sont utiËisëes pour la
transmission des donnëes
D’une maniëre gënërale, les accës aux API sont protëgës par I'utilisationde jetons de sëcuritë du type
JWT encryptë ä I'aide d’algorithmes AES 256. Les API sont aussi dëployës dans Ie cloud Azure Suisse.
Le tableausuivant rëcapitule, ä titred’exemple, 1’ensemble des donnëes qui sont transfërëes ä la base
de donnëes centrale en tant que « dëtails de prësence dans une organisation » aux fins de la collecte
des coordonnëes des visiteurs en vertu des dispositions lëgales en vigueur :
PresenceDatal D 4016282
Orqanizationl D 17800
LastName Doe
FirstName John
PhoneNr +41791234567
Reservation Date 2021-01-28
Field1 Value Table 2
C Berne
PostalCode 3003
Canton Berne
Arrival 2021-01-28 10:32:00.000
Departu re 2021-01-28 11:45:00.000
DateOfBirth 1999-01-01
Adress Feldeggweg 1
Les dëtails des prësences dans une organisation peuvent ëtre transmises soit par SocialPass ou par
SocialScan, selon Ia variante utiËisëe(cf. chapitre 2.4),
Malgrë les demandes explicites du PFPDT, iI n'a pas ëtë possible d'ëtablirquelles ëtaient les mesures
de protectiondes donnëes dans Azure et si les donnëes sont stockëes sous forme cryptëe ou non (data
at rest protection).
Les dëtails de prësence dans une organisationsont supprimës aprës 14 jours. Ä cette fin, une täche
planifiëe a ëtë exëcutëe ä I'aide de la fonction < WebJobs > ; Ie script fonctionne en continu et supprime
automatiquement,deux fois parjour, les enregistrements de donnëes de plus de 14 jours.
19/62
0
Le stockage des dëtails de prësence dans une organisation transmËses est centralisë, c'est-ä-dire que
Ie stockage desdits dëtails de prësence n’est ni physiquement ni logiquementsëparë, iI n'y a pas de
sëgrëgation(sëparation) des donnëes par canton ou par ëtablissement accessible au public. En
d’autres termes, iI n’y a qu'une seule base de donnëes centrale pour toutes les donnëes relatives aux
visiteursde tous les ëtablissementsparticipantsau systëme SocialPass dans toute Ia Suisse.
b. Accës des autoritëscantonales aux coordonnëes des clients
11y a deux possibilitës d'accës aux donnëes centralisëes lors d’un cas d’infection : la remise d’une liste
ä I'autoritëcompëtente par l’ëtablissementou un accës direct par les autoritës en charge de la santë
publique(cantonsde Valais et Vaud).
Dans Ia variante « remise d’une liste » l’ëtablissement peut, si les autoritës compëtentes le lui
demandentpour l’identification
des personnes prësentes, tëlëchargerune listedes coordonnëes des
visiteurs pour une përiode donnëe et la mettre ä la disposition de I'autoritë cantonale.
Dans Ia variante < accës direct par les autoritës sanitaires » les autoritës cantonales compëtentes,
comme p.ex. les mëdecins cantonaux, peuvent obtenir un accës direct ä la base de donnëes Azure.
Chaque canton peut, s’iI le souhaite, demander un accës direct sur la base de donnëes centralisëe,
Les mëdecins cantonaux sont alors dans le röle du < power user » qui leur permet de crëer des logins
pour leurs co11aborateurs.Actue11ement
(ëtat au 10.05.2021), seuls les autoritës sanitaires des
Cantons de Vaud et Valais ont la possibilitëd’accëder directementaux bases de donnëes
centralisëes. Par le biais de cet accës direct ä la base de donnëes, les autoritës cantonales peuvent
effectuer de multiples traitements de donnëes.
20/62
0
Le schëma suivant illustreles fonctions que les autoritës sanitaires peuvent utiliser
Add 1 Under
thr+eü! User Fxport tn CSV Elpert to End
API
addy=
14)(lülleBser
#_______ ,...N,_,,.„=H.,nh_,
rldaH#881
Figure 3: BackofficeHealthAuthority– Diagrammelogiquedu fluxde donnëes, dans : Rapporttechnique
(Document [DD, p. 17
Le systëme SocialPass met ä disposition plusieurs fonctions pour traiter les donnëes des visiteurs
Ainsi, les autoritëssanitaires disposent des fonctions suivantes en fonctionde leurs permissions :
• Gestion des collaborateurs (cf. HealthAutority dans le schëma ci-dessus)
• Chargement du fichier des cas positifs (cf. Upload positive cases dans le schëma ci-dessus)
• Recherche(cf. Search dans le schëma ci-dessus)
•Total des cas par organisation(cf. Total cases by organization dans le schëma ci-dessus)
21/62
0
La premiëre fonction est accessible aux personnes disposant d'un droit d’administrer les
collaborateurs. TroËstypes de droits sont disponibles :
• Primary (permet d’administrer)
' Power (permet d’importer/exporter)
• Normal (permet de visualiser)
Le type Primary est dëfini par l’ëquipe de support de SocialPass. En gënëral c’est le compte du
Mëdecin Cantonal. Un canton spëcifique est indiquë pour le Primary. Le type Power et Normal est
dëfini par l’utilisateurde type Primary. Le canton ne peut ëtre changë, ainsi, par exemple, si un
Primary est rattachë au canton de Vaud, le Power et Ie Normal le seront ëgatement. L’ancrage ä un
canton limitepar la suite la capacitëde la recherche ä ce seul canton. 11en dëcoule, par exemple, que
les collaborateurs du canton de Vaud n’auront pas accës aux donnëes des personnes rësidantes
dans le canton du Valais
Selon les informationssoumises par les reprësentants de SocialPass, aucune autre partie que les
certains exploitants dëterminës en amont et les autoritës sanitaires n'ont accës ä la base de donnëes
centralisëe.
Les reprësentants lëgaux n’ont fourni aucune information ä propos de I'enregistrement des accës, bien
que le PFPDT leur ait adressë plusieurs questions ä ce sujet. Ainsi, sur la base de la documentation
disponible, le PFPDT n'a pas pu procëder ä une conclusion claire en la matiëre
La deuxiëme fonction (Upload positive cases) permet de charger Ia liste des cas ayant ëtë testë
positifs au Covid-19.
La troisiëme fonction (Search) permet de rechercher des prësences dans des organisations
(ëtablissements accessibles au public) en utilisant plusieurs filtres. Lors de requëtes diffërents champs
de donnëes peuvent ëtre utilisës (voir Ia capture d'ëcran ci-dessous). Ce mode de recherche permet
de spëcifiquement rechercher des personnes individuelles (nom, prënom), des numëros de tëlëphone
ou des codes postaux. La recherche peut ëtre limitëe dans le temps et/ou ä des ëtablissements
spëcifiques (filtre). Les requëtes permettentd'effectuer des recherches avec des caractëres
gënëriques, ce qui permet d'obtenir un grand nombre de rësultats.
22/62
0
1:ttFreIeto
OFhH olW'ü14tßoonKyuj+a
A+#n\Cal6 611B
CxlgbaTUI EHud aIMunab+bb QmnHrlIHuB• OBHH+L88tHHBe
nHnBl ruHen LHlbUe GnHI Ardfd OBeRn
aHh8 !! !: tHBüIF
:: nunNb8 :: SU 8 One/}hB 8 Daß/n
AdHnCab lin &IIII nHI OWÜBIB ugjll TaU 3 HaftEn 26artig9
menGe 8118 nun HIn , @96srßn8 vbIll bbk 2 KiafiBot a&nrtkSB
Aal#Bah no hIhi Uh Hin UB63an6VH TöBbFI KIaraBe aKUPPBIR
AdBHQBglü1180 nHhöße Re4LA aRNe8aßUHI abb 6 Kafit+8 e&w169p
Figure 4: Options de recherches pour les autoritës sanitaires, dans Rapport technique (Document [DD, p. 75
La quatriëme fonction(Total cases by organization) permet de retrouver les organisations
(ëtablissements accessibles au public) dans lequel des cas positifs ont effectuë une visite. Les options
de recherche suivantes sont alors disponibles :
• Voir les cas positifs
• Exporter Ia liste des cas positifs, y compris les personnes en contact direct avec la personne infectëe
• Exporter Ia liste des personnes ayant frëquentë le mëme ëtablissement que les cas positifs
• Exporter uniquementles numëros de tëlëphone des personnes en contact direct avec les cas positifs
(option < Atlas > spëcifique au canton du Valais).
Ä partir de la recherche des cas positifs dans les organisations on peut obtenir l’identification de ces
cas. Ä partir de la recherche prëcëdente on peut obtenir Ia liste des personnes ayant ëtë en contact
direct avec les cas positifs. Pour cette option de recherche, la restriction sur le canton ne s’applique
pas. Tous les contacts du cas positif sont identifiës.
2.3. But de la collecte des donnëes
Selon Ie ch. 7 de la dëclaration de confidentialitë2,qui trouve son fondement dans l’Ordonnance Covid-
19 situationparticuliëre,la collecte des donnëes se fait uniquement dans Ie but de les transmettre aux
autoritës publiques en cas d'infection confirmëe de COVID-19 au sein de l’ëtablissement accessible au
public,
2 Document < SocialPass - SocialScan et la protection des donnëes », https://www.socialpass.ch/mentionslegales/, ëtat au
10,05.2021 ; identique au document < Privacy Policy - SocialPass et SocialScan », annexe n' 1 au courrier du 26.04.2021
23/62
0
2.4. Description des diffërents modes de fonctionnement
2.4.1. SocialScan : saisie manuelle (enregistrement des clients rëguliers)
Lorsque l’exploitantde l’ëtablissementaccessible au public enregistre les coordonnëes du client
manuellement (saisie manuelle), le client devrait, en principe, pouvoir choisird'ajouter ses donnëes ä la
liste des < clients rëguliers >, d'imprimer un code QR ou de continuer sans rien faire. En pratique
toutefois, le choix entre ces diffërences options appartient ä I'utilisateurde SocialScan. En effet, c'est
l’utilisateurde SocialScan, c'est-ä-direI'exploitantde l’ëtablissementaccessible au publicqui dispose
de l’appareil sur lequel SocialScan a ëtë tëlëchargë.
Si le choix porte sur I'inscriptionsur de la liste des clients rëguliers, les donnëes sont stockëes
localement sur I'appareil de l’utilisateurde SocialScan, c'est-ä-dire de l’exploitantde l’ëtablissement
accessible au public. Les coordonnëes peuvent ensuite ëtre rëutilisëes lors d’une nouvelle visite via la
fonction < saisie manuelle>. Lorsque la fonction « saisie manuelle > est choisie, la liste sur laquelle
figure toutes les coordonnëes des « clients rëguliers » enregistrës s’affiche lorsqu’est sëlectionnëe la
fonction< choisir un client ». L'utilisateurde SocialScan peut accëder ä cette listeä tout moment. Toutes
les coordonnëess’affichentalors en texte clair. Sur la base des informationsoumises au PFPDT
aucune fonctionpermettantde supprimer ä nouveau les donnëes enregistrëes ne semble exister. En
outre, aucune informationsur la durëe de conservation des donnëes des < clients rëguliers » ne figure
dans la documentationsoumise dans le cadre de cette procëdure
La liste des < clients rëguliers » peut ëgalement ëtre exportëe ä des fins de < synchronisation > avec
d’autres appareils de I'exploitantde l’ëtablissement accessible au public (p.ex. lorsque l’ëquipe de
service est composëe de plusieurs collaborateurs). L’ensemble des donnëes des < clients rëguliers »
peut ëtre affichëe sous forme d'un code QR. Ce code QR peut ensuite ëtre lu directement ä partir d'un
autre appareil (importation) ou imprimë (puis lu par les appareils des diffërents collaborateurs)
Enftn, iI convient de noter que lorsque les coordonnëes d’un < client rëgulier» sont enregistrëes, le
numëro de tëlëphone de ce client n'est pas vërifië – contrairement ä ce qui est prëvu lors du
tëlëchargementde 1’applicationSocialPass
Les deux captures d’ëcran suivantes montrent Ie point de menu pour ta saisie manuelle des donnëes
des < clients rëguliers > dans Socialscan et les donnëes ä saisir et ä transmettre
24/62
0
A- SocialScan + Soumettre les informations
aHH ahoi.sir un client
16b
EntFëe 0 Srxtie. O h&nl 0 0 INFOSCLIENTS
®IEp Nam-
Dëpan rna:1ITh
Prëirolll-
Forrctions
S:9
MobIle*
@1
tkrnandu la bste Caltl€ikr
Code po stal1
Adresse
<>RCtxle rnultipk
Date de naissanc:e
Version: 6.3 §uppört FIFa:1
NFOS-EMS
_• - Date
W 08.01.2021 0 Heu ;e
10:37
Figure 5 : ëcrans de SocialScan. dans : Rapport technique (Document [DD, p. 61ss.
Ä noter : la fonction ëtait appelëe < entrëe manuelle > dans Ia version 6.3 et a ëtë renommëe < saisie
manuelle > dans Ia version actuelle.
25/62
0
2.4.2_ Stockage des numëros de tëlëphone mobile issus du processus d'enregistrement
Au cours du processus d'enregistrement, le numëro de tëlëphone mobile est traitë dans Ie but de vërifier
I'authenticitëdu numëro indiquë. Avant de dëclencher la vërification par SMS gräce aux services Twilio,
iI est vërifiësi le numërode tëlëphoneindiquëa dëjä ëtë utilisëune fois pour I'inscriptiondans
SocialPass. Ä cette fin, tous les numëros de tëlëphone mobile utilisës prëcëdemment sont stockës de
maniëre centralisëe sur Microsoft Azure. Lorsqu’un nouvel enregistrement est effectuë, ces donnëes
sont interrogëes
11n'y a aucune indicationque tes numëros de tëlëphone sont supprimës aprës une certaine përiode de
temps. En outre, I'utilisateurn'est pas informë de ce stockage permanent lors de la procëdure
d'enregistrement. II n'y a pas non plus d'indication sur la maniëre dont I'utilisateurpeut faire supprimer
ces donnëes.
II est importantde noter que le traitementdu numëro de tëlëphone rëpond ä deux objectifs diffërents
D'une part, le numëro de tëlëphone est traitë afin de procëder ä sa vërification de ce numëro par l’envoi
d’un SMS et, d'autre part, pour rëpondre aux exigences lëgales qui fixent que la collecte du numëro de
tëlëphone est obligatoire afin de permettre le tragage (contact tracing). Ce sous-chapitre se penche sur
Ie traitementdes donnëes tel que prëvu par Ie premier objectif dëcrit ci-dessus.
2.5. Services de tiers
2.5.1. Infomaniak
Le site www.socialpass.ch sert principalementde portaild'information pour la plateforme SocialPass et
est hëbergë par Infomaniak en Suisse. Infomaniak est un hëbergeur suisse dont les centres de donnëes
sont situës exclusivementen Suisse. Ä I'origine, le site www.socialpass.chëtait hëbergë par un
fournisseuren France. Aprës Ie premier audit de la sociëtë Navixia SA en novembre 2020,
l’hëbergement a ëtë confië ä Infomaniak en Suisse.
Le fonctionnementdu site web et le traitementdes donnëes associë ne sont pas examinës dans le
cadre de cette enquëte. Sur la base des informationsä notre disposition, iI n’y a pas d'ëchange de
donnëes entre Ie site web et les applications SocialPass ou SocialScan ; au moment de la prësente
enquëte, le site web est uniquement utilisë ä des fins d'Ënformation.
2.5.2. Twilio
Twilio est une entreprise amëricaine basëe ä San Francisco, aux Ëtats-Unis. EIle exploite une
plateformede communicationen nuage en tant que « Platformas a Service >.
26/62
0
Aprës I'enregistrement
initialauprës de SocialPass, TwiliopermetI'envoidu SMS aux utilisateursde
SocialPass. En recevant Ie SMS, la validitë du numëro du client est confirmëe. Ä la fin du processus de
vërification,une clef unique est renvoyëe par ce service si le processus a pu ëtre achevë correctement,
Force est de constaterque lors de l’utilisationdu service Twiliodes donnëes personnellesau sens de
la LPD, notamment les numëros de tëlëphone des visËteurs, son transfërëes aux US. Toutefois, sur la
base de la documentationä notredisposition, nous constatons que les opërateurs de SocialPass n'ont
pas vërifië si des mesures autres que celles prëvues dans les clauses contractuelles ëtaient nëcessaires
et, le cas ëchëant, si elles avaient ëtë mises en place.
La finalitëde la collecteet du traitementdes numëros de tëlëphonene ressort pas clairementdes
documentsoumisau PFPDT ; toutefois,sur la base des informations
dont nous disposons,ces
donnëes ne semblentpas ëtre traitëesen tant que coordonnëes,mais sont traitëesafin de vërifier
l’authenticitë du numëro de tëlëphone indiquë.
2.5.3. MicrosoftAzure (base de donnëes SQL)
Une base de donnëes Azure SQL de Microsoft, hëbergëeen Suisse, est utilisëepour stocker les
donnëes tel que dëcrit ci-dessus. Les rapports de test [B] et [Cl qui nous ont ëtë fournis ne concernent
que le composantSocialScan pour Android et iOS. Ils ne contiennentaucune informationsur le
composant SocialPass ou les services de fournisseurs tiers, tels que Twilioou MicrosoftAzure. Afin de
permettre au PFPDT de mieux ëvaluer le traitement en termes de sëcuritë et de protection des donnëes,
des rëponses spëcifiques supplëmentairesont ëtë demandëes ä SwissHelios dans Ie document [K]
Dans ce contexte, la question a ëtë posëe de savoir si Azure ëtait configurë conformëment ä la Baseline,
par exemple. Cette question est restëe sans rëponse jusqu’ä ce jour. Le document [1]a ëtë soumis ä
titred'information.Toutefois,iI ne contientaucune informationsur les mesures prises pour sëcuriser le
systëme ni sur la mise en @uvreeffectiveet le contrölede ces mesures. Dans la rëponse (4-c) du
document [H], les exploitants de SocialPass expliquent que la fonction d’audit est activëe sur Azure, qui
enregistreles accës ä la base de donnëes. EIle prëcise ensuite que I'infrastructureAZURE dispose de
toutes les fonctions de sëcuritë, de journalisation et de tragage. II n'est pas expliquë si et comment ceux-
ci sont utilisëset donc activës. Dans ce cadre se pose ëgalementla questionde savoir si des
identificateurset/oud'autres donnëes personnelles ont ëtë enregistrës dans Azure en plus des donnëes
des visiteurs/clients(=prësence) et si oui, lesquelles.
2.6. Information et droits des personnes concernëes
2.6.1. Informationdes utilisateurs
Au cours de la procëdured'ëtablissementdes faits, la dëclarationde protectiondes donnëes et d'autres
informations publiquement accessibles, ä savoir les informations disponibles sur Ie site web
www.socialpass.ch, ont ëtë considërablement modifiëes. Actuellement (ëtat au 10.05.2021), tant les
27/62
0
liens dans I'AppStore (Apple/iOS), dans le PlayStore (Google/Android) que dans les applications
SocialPasset SociaËScan
renvoient
ä la dëclaration
de protection
des donnëessur Ie site
www.socialpass.ch/mentionslegales/, ce qui ëtait encore incohërent au moment de I'ouverture de la
procëdure.
2.6.2. Droits des personnesconcemëes
a. Exercice du droit d’accës
Le document « SocialPass – SocËalScan et la protection des donnëes »3, accessibles via I'application,
les AppStores et Ie site web sous le titre < Protection des donnëes », indique une adresse de contact
pour les utilisateurs (info@socialpass.ch; ëtat au 10.05.2021 )
En outre,la dëclaration
de protection
des donnëescontientdes informations
sur les droitsdes
personnes concernëes (cf. ch. 6).
b. Exercice du droit ä l’effacement des donnëes
L’effacementse fera de fa9on automatisëeaprës la durëe de conservation de 14 jours prëvue par
I'Ordonnance Covid-19 situation particuliëre
Par contre, lorsque la fonction < Saisie manuelle > (cf. chapitre 2.4.1) est utilisëe, les coordonnëes des
< clientsrëguliers
> restentenregistrëes
sur l’appareil
de l’ëtablissement.
Sur la base de la
documentation soumise au PFPDT, aucune possibilitë d’effacer les donnëes des < clients rëguliers >
des appareilsdes ëtablissementsaccessibles au public ne sembleavoir ëtë prëvue par les exploitants
de SocialPass.
Aucune informationn'est disponiblesur la question de savoir si une sollicitationä 1’adressedes
utilisateursde supprimer I'application,et donc toutes les donnëes personnellesdëtenues sur les
appareils, est prëvue lorsque les dispositions pertinentes fondëes surl’Ordonnance COVI D-19 Situation
particuliëre ne seront plus en vigueur,
2.7. Aspects de sëcuritë des donnëes
2.7.1. Organisation de la sëcuritë de 1’information
Le PFPDT a demandë aux opërateurs de I'application,au moyen d'un questionnaire,comment les
responsabilitës en matiëre de sëcuritë de I'information et de protection des donnëes sont dëfinies,
documentëes et attribuëes entre les deux exploitants de 1’application.Dans leur rëponse ä ce
3 https://www.socialpass.ch/mentionslegales/
28/62
0
questionnaire technique, les exploitants de I'application ont indiquë que la rëpartition des responsabilitës
en matiërede sëcuritëde I'informationet de protectiondes donnëes n’a pas pu ëtre fixëe (ni par oral ni
par ëcrit), notamment en raison des modificationsconstantes de I'applicationau niveau cantonal ainsi
qu’en raison des dëveloppements rapides, mais que peu prëvisibles de la pandëmie.
2.7.2. Login avec double-authentification
Sur la base des informationssoumises au PFPDT, iI n'est pas clair si et, le cas ëchëant, quels
composants du systëme de SocialPass sont sëcurisës au moyen d'une authentificationä deux
facteurs.
2.7.3. Identifiantsde l’utilisateur
Selon le chapitre [D] "8.11 - Device - Structure des donnëes", diffërents identifiants d'utilisateur sont
utilisës. Outre le numëro de tëlëphone, iI convient de mentionner explicitement I'utilisation de I'IMEI
(International Mobile Equipment EntËty, un numëro de sërie ä quinze chiffres unËque au monde de
I'appareil)et d'un numërod'utilisateuruniqueUID (Unique ID) de Google Firebase. Aucune autre
donnëe pseudonymisëe servant ä identifierde maniëre unique les personnes concernëes n'a ëtë
mentionnëe,mëme aprës des demandes explicitesdu PFPDT.
2.7.4. Gëolocalisation
SocialPass n’utilise pas la gëolocalisation
2.8. Analyse de 1’auditde Navixia SA
Les composants < SocialPass > et < SocialScan » ont fait I'objet d'un test de vulnërabilitë par NavixËa
SA, pour le compte de GastroVaud, aux dates suivantes. Cela vaut pour les systëmes d'exploitation
iOS et Android.
Date Processus
18 mars 2021 Rapport, y compris Management Summary v.1.2
12 au 18 mars 2021 Test du cryptage mis en oeuvre
7 dëcembre 2020 Rapport, y compris Management Summary v.1.1
4 dëcembre 2020 Vërifications 2 et 3
16 au 18 novembre 2020 Kick-Off et test
Selon le rapport « Analyse de sëcuritë (recheck) Applications SocialPass & SocialScan v. 1.2 > datë du
18 mars 2021, tous les ëlëments des applications susceptibles d'ëtre pertinents pour la sëcuritë ont ëtë
29/62
0
examinës. Cela comprend le stockage des donnëes, la confidentiatitë, la cryptographie,
I'authentification, la communication rëseau et les paramëtres de construction.
Pour analyser les applications mobiles, Navixia SA suit une mëthodologie basëe sur I'ëvaluation des
risques OWASP. Cette approche suit un processus structurë et rend tes rësultats obtenus comparables
entre eux. Ä cette fin, pour chaque ëlëment identifië, la vulnërabilitëest dëcrite et son degrë de risque
est cartographiësur la base du systëme normalisë CVSS (Common Vulnerability Scoring System). Les
rësultats sont ëvaluës selon les critëres suivants :
• Exploitabilitë : les vecteurs d'accës, la complexitë de I'accës et I'authentificationëvaluent comment
un attaquant peut accëder ä une vulnërabilitë et quelles conditions supplëmentaires, le cas ëchëant,
doivent ëtre remplies pourqu'elle soit exploitëe.
• Implications : Les indices de protection des donnëes, d'intëgritë du systëme et de disponibilitë
mesurent la maniëre dont une vulnërabilitë peut avoir un impact direct sur I'infrastructure
informatique une fois exploitëe.
Dans le CVSS, le score total d'une vulnërabilitë rësulte de la combinaison d'une sërie d'ëvaluations
isolëes d'aspects indËviduels(mëtriques), en tenant compte des pondërationsenregistrëes dans la
formule de calcul.
Les indices de mesure ä cet effet sont indiquës ci-dessous avec les valeurs attribuëes correspondantes,
Cet indice ëvalue Ie niveau d'autorisation qu'un attaquant doit avoir afin d'exploiter avec succës la
vulnërabilitë.
Haut: L'attaquant dispose de privilëges qui lui donnent accës ä des röles administratifs
importants.
Moyen : L’attaquantdispose de privilëges d'utilisateurde base qui peuvent affecter les
paramëtres et les fichiers d'un utilisateur.
Faible: L'attaquantn'a pas besoin d’ëtre authentifië
lci, I'ëvaluationest basëe sur I'impactd'une vulnërabilitësur la confidentialitëdes donnëes traitëes.
Confidentialitë
Haut: 11y a une perte totalede confidentialitëet un attaquant obtËentI'accës ä toutes les
ressources du composant affectë.
Moyen : Un attaquant peut accëder ä certaines donnëes.
Faible: II existe un faible risque d'accës aux donnëes au sein du composant concernë.
30/62
0
Cet indice dëcrit Ë'impactd'une vulnërabilitë sur I'intëgritë du systëme.
Haut: 11en rësulte une perte totale d'intëgritë. Par exemple, l’attaquant peut modifier
n'importequel fichier (ou ensemble de fichiers).
Moyen : La modificationde donnëes est possible dans une mesure limitëe.Cependant, la
modificationdes donnëes n'a pas d'impact significatif sur le composant concernë.
Faible: 11y a un faible risque de perte d’intëgritë.
Le degrë de danger est ëvaluë dans le rapport de Navixia SA sur la base des ëlëments ci-dessus sur
une ëchelle de O ä 10.
• Score entre 9,0 et 10: critique
• Score entre 7,0 et 8,9: 111:jIt
• Score entre 4,0 et 6,9: ,
• Score entre0,1 et 3,9: faible
• Score 0: ä titre d’information
Du point de vue du PFPDT, les interprëtationssuivantes doivent servir de rëfërence, en fonction de
I'indiced’ëvaluation, afin de prëvenir les risques de violation de la protection des donnëes.
Critique: Cette vulnërabilitëreprësente un risque inacceptable. L’application ne doËtpas ëtre
mise en ligne ; si eIle 1’estdëjä, eIle doit ëtre dësactivëe immëdiatement.
Haut; Cette vulnërabilitëdoit ëtre corrigëe immëdiatement, ëventuellementdans le cadre
d'un correctif d'urgence. D'autres mesures de minimisation des risques doivent ëtre
envisagëes jusqu'ä ce que le correctif soit en place.
Moyen : Cette vulnërabilitëdoit ëtre corrigëe, mëme si eIle entraine des coüts
supplëmentaires (modërës) ou d'autres inconvënients (modërës)
Faible: Le correctif peut ëtre inclus dans la planification des versions sur une base rëguliëre.
Par la suite, les conclusions du document < GVD7009 Recheck SocialPass SocialScan_v1.2 » sont
dëcrites.
2. 8. 7. Interaction avec la plateforme (6.2.6 et 6.3.64)
Actuellement, le serveur ne vërifie pas les mëtacaractëres. Le cross-site scripting (XSS) n'est souvent
que le prëcurseur d'attaques plus graves. Actuellement, aucune vërification des donnëes n’a lieu avant
leur exëcution par le serveur
4 Les chiffres se rëfërent aux chapitres du document [A] < GVD7009_Recheck_SocialPass_SocialScan_v1 .2 >
31/62
2.8.2. Qualitë du code et packaging (6.3.7)
Comme dëcrit dans le rapport d'audit, un attaquant peut modifier I'APK (paquet Android) afin qu'il
contienne une ancienne version d'une bibliothëqueexterne sans que cela soit dëtectë par la signature.
Toutefois, si cette ancienne bibliothëquecontient des vulnërabiIËtës,l’APK peut ëtre installë sur un
tëlëphone mobile, par exemple, sans briser la signature existante. II est ainsi possible d'exploiter les
failles de sëcuritë des anciennes bibËiothëques.
En outre, les versions intëgrëes des bibIËothëquestierces ont ëtë examinëes au cours de I'audit. 11a ëtë
constatë que toutes les bibliothëques ne sont pas de la derniëre version. En fait, les bibliothëques tierces
obsolëtes sont souvent affectëes par des failles de sëcuritë.
2.8.3. Descripteur (7.1)
Le descripteurd'API utilisëpar les applicationsmobiles est accessible au public. Cela permet ä un
attaquant de dëtecter toutes les mëthodes disponibles. D'aprës le rapport, le descripteur d'API n'est
plus visible dans I'environnement de test UAT (User Acceptance Test), mais peut toujours ëtre consultë
en production. Un attaquant peut en tirer des informations pour attaquer I'environnement UAT. Le
problëmene peut donc ëtre rësolu que si 1’informationn'est pas du tout visible.
2.8.4. Mots de passe stockës en clair (7.1)
Dans le cadre d’interviews, les dëveloppeurs de SocialPass ont confirmë ä Navixia SA que les mots de
passe ne sont plus stockës en texte clair dans la base de donnëes. Cependant, sans accës ä cette base
de donnëes, iI n'a pas ëtë possible pour Navixia de vërifier si les mots de passe sont maËntenant stockës
correctement(salt & hash). Dës lors, le PFPDT part du principeque les dëclarationsfaites par les
dëveloppeurs dans le rapportsont correctes et que les mots de passe ne sont plus seulement stockës
en texte clair, mais qu'ilssont ëgalement sëcurisës par un Medium Salting.
2.8.5. Conservation desdonnëes (8.4.1)
La section 8.4.1 mentionne un problëme de conservation des donnëes deIä une faille de sëcuritë. Selon
Ie rapport d'audit, cela a ëtë rectifiëdepuis. Or, ce point ne pouvait plus ëtre vërifië par Navixia SA sans
accës ä la base de donnëes.
32/62
0
2.9. Analyse de 1’audit d’lndusface
Le PFPDT a regu les deux documents suivants par e-mail Ie 11 fëvrier 2021 par le reprësentant lëgal
des exploitantsde SocialPass
Rapports d’audit
Android Mobile ApplicationAudit Report of Social Scan v1.0.pdf
SHA2 56 D313DCD4B4D8 FBD2C142F7943C65DB4 FF4155F6B474C2F54 35306ADF438F26CC
iOS Mobile Application Audit Report of Social Scan v1 .0. pdf
SHA256 C74551665D7B2 2IAC133DBBEDC31F6EAB2 77FB151879D14237D680117B6A3BD9
Les deux rapports d'auditfournis (Indusface), se rëfërent exclusivement au composant < SocialScan >,
dans les versions pour Android et iOS. Ils ne contiennent aucune information sur le composant
< SocialPass » ou sur des services tiers tels que < Twilio > ou les systëmes back-end sur < Azure ».
Përiodes d’essai os Version SocialScan
Mt - 04. nM}20 r 0.1 MD5 b82a838aa9f430857581f02693ff26co
28. oct. - 03. nov. 2020 ios V6.2 MD5 OB81B1417BCD6A7CF8360B133632B241
Les conclusions des rapports < Android Mobile Application Audit Report of Social Scan v1.0 > et < iOS
Mobile Application Audit Report of Social Scan v1.0 > diffërent en fonction des systëmes d'exploitation
Android et iOS
2.9.1 . Classification
La classification est basëe sur les catëgories ci-dessous
Impact DescrËption
A vulnerabilitywherein an attacker might have the abilityto execute commands
on the server or retrieve and modify private information
Security issues are defined as a risk that puts the system and / or data related
to the system in immediate danger.
Medium Findings indicate a more serious security matter that should be remedied
appropriately within a short amount of time.
Findings usually indicate a minor security risk that does not pose immediate or
short-termdanger. An observational point in the site, or detection of certain
applications or web servers
An observational point in the site, or detection of certain applications or web
servers
33/62
0
2.9.2. Rësultats en fonction des catëgories
Les vulnërabilitësdëtectëes sont classëes dans les catëgories suivantes
Android-App iOS-App
CritËcaË fi Critica!: f1
High: 2 High: 2
Medium: 2 Medium: 1
Low: 21 Low: 18
Information: 3 Information: 1
2.9.3. Android et iOS Mobile
Le tableauci-dessous reflëte les rësultats d'lndusface [B] et [C] pour le composant « SocialScan > pour
les systëmes d'exploitationAndroid et iOS. Les entrëes marquëes d'un astërisque (*) sont considërëes
par le PFPDT comme pertinentes pour la protection des donnëes. Mëme s'ils sont considërës comme
faibles dans la cËassifËcationdes risques, ils peuvent dëvelopper une classification des risques diffërente
ä la suite d'interactions. Ces entrëes relatives ä la protection des donnëes sont analysëes au chapitre
2.9.4
Le PFPDT utiliseles notationsuivantescommecritërepourattënuerle risquede violationde la
protectiondes donnëes
Cette vulnërabilitëreprësente un risque inacceptable. L'applicationne doit pas ëtre
mise en Ëigne; si eIle 1'estdëjä, eIle doit ëtre dësactivëe immëdiatement.
Cette vulnërabilitë doit ëtre corrigëe immëdiatement, ëventuellement dans le cadre
d'un correctif d'urgence. D'autres mesures de minimisation des risques doivent ëtre
envisagëes jusqu'ä ce que le correctif soit en place
Cette vulnërabilitëdoit ëtre corrigëe, mëme si cela entraTnedes coüts
supplëmentaires (modërës) ou d'autres inconvënients (modërës)
La correction peut ëtre incluse dans la planification des versions ultërieures sur une
base rëguliëre
Tableau 3: Rësultats trouvës dans SocialScan
Nr. Vulnërabilitës Catëgorie de
risques
Blind HTML Injection High
Insecure Direct Object References High
Application is Vulnerable To Email Flooding Attack Medium
34/62
0
4* Insecure Logging Of The Application (betrifft nur Android) lediu
5* Application is Vulnerable To Improper Token Management Low
6* ApplicationAccepts Special Character As User Input Low
7* Valid Account Can Be Brute Forced Low
8* Missing API Rate Limiting Low
9* Application Does Not Have A Strong Password Policy Low
10 Application is Vulnerable To Reverse Engineering Low
11* Cleartexttrafficis Set To True (betrifft nur Android) Low
12* Application is Vulnerable To Simultaneous Login Low
13* Application's Request/Response Reveals Sensitive Information Low
14* SSL Pinning Can Be Bypassed Low
15* Insecure Data Storage in File System Low
16’ Insecure Content Security Policy (Csp)/X-Frame-Options Low
17* Missing HSTS Header Low
18* InformationLeakage From Clipboard Low
19* Sensitive Data Disclosure in Recent Apps Low
20 DefaultWeb Page Found Low
21* Application Has Set Insecure Permissions Low
22 Programming Language And Version Disclosure Low
23 Application Displays Web Server Banner Low
24 Using Known Vulnerable Components Low
25 Application Works in Rooted Device Low
26 Application Runs On Older Platform Information
27 Printstacktraceo Function is Used in The Application Information
35/62
0
setAILowFileAccess Enabled
2.9.4. Conclusions de 1’auditIndusface
Le sous-chapitre 2.9.4 rësume les diffërentes constatations du PFPDT comportant un risque de perte
de donnëes, de corruptionde donnëes ou de dommages aux donnëes.
a. Blind HTML tnjection[1]5
L'injectionHTML est utilisëe lorsque I'entrëedans une application n'est pas validëe. Cela permet de
modifierle contenu d'une page web et tous les utilisateurs qui naviguent sur cette page verront le
contenu modifië. Ainsi, sur la page d'enregistrement de SocialScan, un attaquant peut injecter un HTML
Payload(par exemple,une chaTnede code malveillant)dans les champs de donnëes et rëussir ä
I'enregistrer.L'injectionHTML est exëcutëe avec succës dans les modëles d'email.
b. Insecure Direct Object References [2]
Les rëfërencesdirectesä des objetsnon sëcurisëes (IDOR) constituentun problëmede sëcuritë qui se
produit lorsque le dëveloppeur de I'application utilise un pointeur pour accëder directement ä un objet
d'implëmentation interne, mais ne fournit pas de contröles d'accës et/ou de vërifications d'autorisation
supplëmentaires. Un utilisateurde SocialScan est lië ä son numëro d'identificationd'utilisateur par I'ID
de I'organisation. L'attaquant, ä son tour, se connecte ä SocialScan et peut simplement modifier I'ID de
I'organisationä volontë. Cela permetä I'attaquantd'avoiraccës aux dëtaiËsde I'utilisateurcorrespondant
(numëro de tëlëphone mobile et mot de passe).
c. Insecure Logging Of The Application [4]
Dans SocialScan, les donnëes sensibles d'un point de vue technique sont enregistrëes et peuvent
conduireä des fuites d'informations.Dans SocialScan, les donnëes sensibles teIles que le nom de
I'utiIËsateur
et le mot de passe sont stockëes sans aucune < obfuscation >.
d. Application is Vulnerable To Improper Token Management [5]
Le rapport indiqueque dans SocialScan, une session reste active mëme aprës la dëconnexion. Cela
signifiequ’une session peut ëtre reprise et rëutilisëe par un autre utilisateur.
5 Les chiffresentre crochets font rëfërence au tableau 3: Rësultats trouvës dans SocialScan, ci-dessus.
36/62
0
e. ApplicationAccepts Special eharacter As User Input [6]
SocialScan accepte les caractëres spëciaux (>{ etc.). Cela peut conduire ä I'exëcutiond'un code
malveillant,
f. Valid Account Can Be Brute Forced [7]
Une attaque par force brute (Brute-Force-Attack) est une mëthode d'attaque banale. La thëorie est que
lors d’une teIle attaque, un nombre infinide tentatives sont faites pour deviner un mot de passe. Ä un
moment donnë, le mot de passe correct devrait ëtre devinë. C'est possible avec SocialScan.
g. Missing API Rate Limiting[8]
Les interfaces d'applicationdont les limites de ressources et de quotas sont absentes ou mal
implëmentëes offrent aux attaquants la possibilitë de rëaliser des attaques Brute-Force sur des comptes
d'utilisateyrs ou de provoquer un dëni de service. L'exploitatËonde cette vulnërabilitë ne nëcessite
souvent mëme pas d'authentification ; eIle requiert simplement I'envoi simultanë de plusieurs requëtes.
h. Application Does Not Have A Strong Password Policy [9]
SocialScan n'a pas de politiquede motde passe ou ne I'appliquepas correctement. Par exemple, iI est
possibled'utiliserun mot de passe composë d'une seule lettre.
i. Cleartexttrafficis Set To True [111
Selon le rapport d'audit, le trafic de donnëes sur la plateforme Android s'effectue sans cryptage de
transport (SSLfTLS), c'est-ä-dire en texte clair (HTTP).
j. Application is Vulnerable To Simultaneous Login [12]
II est possibled'ouvrËrplusieurssessions avec les mëmesdonnëes d'identification.Cela augmente donc
la surface d'attaque, puisqu'un attaquant peut utiliser de maniëre transparente des donnëes
d'identification valides en mëme temps que I'utilisateur lëgitime.
k. Application's Request/Response Reveals Sensitive Information [13]
Toutes les informationssensibles d'un point de vue technique (c'est-ä-dire les donnëes personnelles et
les autres donnëes qui pourraientpotentiellementcompromettre la sëcuritë des donnëes, par exemple
Ie mot de passe) ne sont pas obscurcies ä I'aide d'une technique appropriëe teIle que le Salting
37/62
0
l. SSL Pinning Can Be Bypassed [14]
Dans SocialScan, le SSL Pinning impËëmentë peut ëtre contournë en insërant JavaScript au moment
de I'exëcution.
m. Insecure Data Storage in File System [15]
Les vulnërabilitësdu stockage des donnëes surviennent lorsqu'onsuppose que les utilisateursou les
logicielsmalveillantsn'ont pas accës au systëme de fichiers d'un appareil mobile et donc aux
informationssensibles contenues dans la mëmoire de I'appareil. II faut donc s’attendre ä ce qu'un
utilisateurmalveillantou un logËcielmalveillantpuisse avoir accës ä des donnëes sensibles dans
SocialScan. Le rootageou lejailbreak d'un appareil mobile contournetoute mesure de protectionpar
cryptage.
n. Insecure Content Security Policy (Csp)/X-Frame-Options [16]
L'en-tëtede rëponse HTTP de X-Frame-Options dans SocialScan peut ëtre utilisë pour spëcifier si un
navigateurest autorisëou non ä rendre une page dans un ,