Schweizerische Eidgenossenschaft Prepose federal ä la protection des donnees et ä la transparence Confederation suisse PFPDT Confederazione Svizzera Confederaziun svizra Rapport final et recommandations du Prepose federal a la protection des donnees et a la transparence (PFPDT) du 4 aoüt 2021 dans le cadre de la procedure d'etablissement des faits selon l'article 29 de la Loi federale sur la protection des donnees du 19 juin 1992 (LPD ; RS 235.1) concernant l'application « SocialPass » de SwissHelios Sari, a Oberlunkhofen et NewCom4U Sari, a Sierre representees par Lexing Switzerland, 1951 Sion Uusqu'au 14 juin 2021) Feldeggweg 1, 3003 Berne Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch 0 Table des matiëres 1. Introduction........................ 1.1 . Remarques prëliminaires ...... 1.2. Situation de dëpart... 1.3. Parties impliquëes ............... 1.4. Chronologie desëvënements .............................. .. 7 1.5. Portëe de la procëdure d’ëtablissement des faits. 10 1.6. Bases de l’ëtablissementdes faits.. 11 1.7. Analyses effectuëesdans le cadre de la prësente procëdure. 12 1.8. Bases lëgales. 13 1.9. Compëtence du PFPDT.. 13 2. Faits ëtablis 13 2.1 . Röles et responsabilitës....... . 13 2.2. Composants et fonctions ..... , 14 2.2.1 . ApeQU .......................... 14 2.2.2. Description du processus d'enregistrement ...., 15 2.2.3. Fonctions de SocialScan .....,... . 17 2.2.4. SocialPass : enregistrement et utiËisation 17 2.2.5. Base de donnëes centralisëe . 19 a. Gënëralitës............................, 19 b. Accës des autoritës cantonales aux coordonnëes des clients .. , 20 2.3. But de la collecte des donnëes.......... 23 2.4. Description des diffërents modes de fonctionnement. 24 2.4.1. SocialScan : saisie manuelle (enregistrement des clients rëguliers) . 24 2.4.2. Stockage des numërosde tëlëphone mobileissus du processus d’e lregistrement . 26 2.5. Services de tiers ............................... 26 2.5.1 . Infomaniak .. 26 2.5.2. Twilio ......................................., 26 2.5.3. MicrosoftAzure (base de donnëes SQL) .... 27 2.6. Information et droits des personnes concernëes.., 27 2.6.1 . Information des utilisateurs ................. , 27 2.6.2. Droits des personnesconcernëes ...... 28 a. Exercice du droit d’accës . 28 b. Exercice du droit ä l’effacement des donnëes....................................., 28 2.7. Aspects de sëcuritëdes donnëes.. 28 2/62 0 2.7.1. Organisation de la sëcuritë de 1’information 28 2.7.2. Login avec double-authentification 29 2.7.3. Identifiants de I'utilisateur ..........., 29 2.7.4. Gëolocalisation ..........................., 29 2.8 Analyse de 1’auditde Navixia SA , 29 2.8.1. Interaction avec la plateforme (6.2.6 et 6.3.6) 31 2.8.2. Qualitë du code et packaging (6.3.7) 32 2.8.3. Descripteur (7.1)..............................., 32 2.8.4. Mots de passe stockës en clair (7.1 ) 32 2.8.5. Conservation des donnëes (8.4.1). 32 2.9. Analyse de I'audit d’lndusface .................... 33 2.9.1 . Classification ......., 33 2.9.2. Rësultats en fonction des catëgories .. 34 2.9.3. Android et iOS Mobile . 34 2.9.4. Conclusions de I'audit Indusface .., 36 a. Blind HTML Injection [1].., 36 b. InsecureDirectObjectReferences [2]..., 36 c. Insecure Logging Of The Application [4] 36 d. Application is Vulnerable To Improper Token Management [5] .. . 36 e. ApplicationAccepts Special Character As User Input[6]. 37 f. ValidAccountCan Be BruteForced[7]............................... 37 g. Missing API Rate Limiting[8] ........, 37 h. Application Does Not Have A Strong Password Policy [9] 37 i. Cleartexttraffic is Set To True [11] 37 j. Application is Vulnerable To Simultaneous Login [12] ................ 37 k. Application's Request/Response Reveals Sensitive Information[13] 37 1. SSL Pinning Can Be Bypassed [14] ..........................................., 38 m Insecure Data Storage in File System [15]. , 38 n. Insecure Content Security Policy (Csp)/X-Frame-Options [16] ... 38 0. Missing HSTS Header [17] ., 38 P. InformationLeakage From Clipboard [18].., 38 q. Sensitive Data Disclosure in Recent Apps [19] .... 38 r. ApplicationHas Set Insecure Permissions [21] 38 3, Apprëciation juridique et recommandations ... 39 3.1 Röles et responsabiIËtës... , 39 3/62 0 3.2. Banque de donnëes centralisëe .................... 41 3.2.1. Banque de donnëes centralisëe stricto sensu ......... 41 3.2.2. Divers droits d'accës ä la base de donnëe centralisëe / fonctions de filtres 43 3.3. Option « saisie manuelle » ..................,.............. 47 3.4. Transferts des numëros de tëlëphone aux Ëtats-Unis ... . 48 3.5. Stockage centralisë et permanent du numëro de tëlëphone mobile dans le processus d'enngistnment .................................................................................................................... 49 3.6. MicrosoftMun (base de donnëesSQL) .............................................................................. 50 3.7. Divers aspects de sëcuritëdes donnëes............................................................................... 50 3.7.1. Gestion des vulnërabilitës.............................................................................................. 51 3.7.2. Mise en placed’uneauthentification forte.................................................,................... 51 3.7.3. Utilisation disproportionnëe d'identifËants...................................................................... 51 3.7.4. Organisation et documentationrelatives ä la sëcuritë des donnëes . ............................ 52 4. Prises de position des parties ........................................................................................................ 53 4.1. Remarques prëliminaires relatives au droit d’ëtre entendu ................................................... 53 4.2. Prise de positiondes parties relative aux faits ëtablis Ie 20 mai 2021 .................................. 53 4.3. Prise de positiondes parties relative au rapport final et aux recommandations du 28 mai 2021 ....................................................................................................................................... 54 4.3.1. Recommandation (1) concernant les röles et les responsabilitës ................................. 54 4.3.2. Recommandation(2) concernant Ia base de donnëes centrale.................................... 55 4.3.3. Recommandation (3) concernant Ia liste des clients rëguliers SocialScan .................. . 55 4.3.4. Recommandation (4) concernant Ie service de vërËficationdes numëros.................... . 56 4.3.5. Recommandation (5) concernant l’enregistrement centralisë et permanent du numëro de tëlëphonemobiledans le processus d'enregistrement............................................ 57 4.3.6. Recommandation (6) concernant la configurationet le renforcement de Microsoft Azure 58 4.3.7 Recommandation (7) concernant la gestion des vulnërabilitës..................................... 58 4.3.8. RecommandatËon(8) concernant la mise en place d'une authentificationforte ............ 59 4.3.9, Recommandation (9) concernant le traitement des identifiants d'appareils.................. 59 4.3.10, Recommandation (10) concernant la documentation relativeä la sëcuritë des donnëes 5. Conclusion ,.... 60 6. Suite de la procëdure ................... ,..... 61 7. Publication de la recommandation en vertu de I'art. 30 al. 2 LPD ..61 4/62 0 1. Introduction 1.1. Remarques prëliminaires Le Prëposë fëdëral ä la protection des donnëes et ä la transparence (PFPDT) ëtablit les faits d’office ou ä la demande de tiers lorsqu'une mëthode de traitement est susceptible de porter atteinte ä la personnalitëd'un nombre importantde personnes (erreur de systëme ; art. 29 LPD). La prësente procëdure a pour but de permettre au PFPDT de vërifier si les principes de la protection des donnëes tels que fixës aux articles 4 et 7 LPD et les prescriptions sanitaires en matiëre de tra9age sont respectës dans lecadre de l’exploitationet l’utilisationdu systëme SocialPass. 1.2. Situation de dëpart Dans Ie but de mieuxluttercontrela pandëmiede COVID-19,le Conseilfëdërala prëvudans l’Ordonnance sur les mesures destinëes ä luttercontre l’ëpidëmie de COVID-19 en situation particuliëre du 22 juin 2020 (Ordonnance Covid-19 situation particuliëre ; RS 818.101.26) que les exploitants d’installations ou d'ëtablissements accessibles au public doivent cotlecter les coordonnëes des participants ou des visiteurs. La collecte des coordonnëes (donnëes personnelles au sens de 1’art.3 lit.a LPD) a pour but de pouvoir retracer des cas d’ëventuelles infections au sein d’un restaurant ou de tout autre ëtablissementou ëvënementaccessible au public. Ä cette fin, les exploitantset les organisateurs sont tenus de collecter le nom, le prënom, le domicile et le numëro de tëlëphone de leurs clients (ch. 4.4. lit. a de l’Annexe 1 Ordonnance COVID-19 situation partËculiëre). L’art. 5 Ordonnance COVID-19 situation particuliëre prëcise que les personnes concernëes doivent ëtre informëes de cette coIËecte de donnëes et du but de l’utilisationde leurs donnëes (tragage des contacts). Les coordonnëes doiventëtre immëdiatementtransmises par voie ëlectronique au service cantonal compëtent s’iI en fait la demande aux fins d’identificationet d’information des personnes prësumëes infectëes au sens de 1’art.33 de la Loi sur les ëpidëmies (LEp ; RS 818.101). De surcroit, l’Ordonnance situation particuliëre fixe que les coordonnëes collectëes ne peuvent pas ëtre utilisëes ä d'autres fins que celle du tra9age et qu'elles doivent ëtre conservëes durant les 14 jours suivant Ia visite de l’ëtablissement puis immëdiatementdëtruites. Afin de faciliter la collecte desdites donnëes dans le cadre de la lutte contre la pandëmie, les sociëtës SwissHelios et NewCom4U ont dëveloppë SocialPass. Ce systëme est composë essentiellement de trois composants : 1’applicationSocialPass peut ëtre tëlëchargëe sur l’appareil mobile des clients et visiteurs tandis que 1’applicationSocialScan est utilisëe par les ëtablissements accessibles au public comme p.ex. les restaurants. Les donnëes sont ensuite stockëes sur une base de donnëes centrale Dans le cadre de la prësente procëdure le terme < SocialPass » fera rëfërence - sauf mention contraire – au systëme entier, englobant notamment les applications mobiles SocialPass et SocialScan ainsi que la base de donnëes centralisëe. 5/62 0 Ä partir du mois dejuillet 2020, le PFPDT a regu plusieurs demandes de citoyens ainsi que des mëdias suggërant que les traitements de donnëes tels que prëvus par SocialPass violeraient potentiellement le cadre lëgalprëvu par la LPD et les prescriptionssanitaires en matiërede tra9age. Dans le cadre de sa fonctiond’autoritëde surveillance,le PFPDT a alors pris contactavec les responsables de ladite applicationen novembre 2020. Cette prise de contact devait permettreau PFPDT de vërifier si les critiques ëmanant de la sociëtë civile d'une part et de la presse d’autre part ëtaient fondëes. Dans Ie but d'apporter des rëponses plus prëcises aux questions soulevëes lors de la premiëre prise de contact en automne 2020, le PFPDT a ouvert, en dëcembre 2020, une procëdure d'ëtablissement des faits selon 1’art.29 LPD, d’abord ä l’encontrede la SwissHelios Särl, puis ä l’encontre de la NewCom4U Särl. Les deux procëdures ont ëtë formellementjointes Ie 4 mars 2021. 1.3. Parties impliquëes Les personnes physiques et morales ayant un röle dëterminantdans la prësente procëdure d’ëtablissement des faits sont les suivantes Exploitants de SocialPass: SwissHelios Särl, Wiesenstrasse 7a, 8917 Oberlunkhofen, agissant par M. Erwin Peter, associë et prësident des gërants et M. Julio Salgado, associë et gërant ; NewCom4U Särl, Technopöle 3, 3960 Sierre, agissant par M. Thierry Pilet, associë et gërant ; reprësentëes par Me Sëbastien Fanti, Me Gëraldine Gianadda et Me Alexandre Staeger. avocats au sein de I'ëtude Lexing SwitzerlandSärl, Rue de Prë-Fleuri 8B, 1951 Sion Responsables du dossier auprës du PFPDT : NathalieWeber, Cheffe Team 1, Domaine de direction protection des donnëes MyriamChrist, Juriste Team 1, Domainede directionprotectiondes donnëes Fritz von Allmen, Spëcialiste en sëcuritë informatique, Centre de compëtence IT et Sociëtë numërique Michael Burger, Spëcialiste en sëcuritë informatique, Centre de compëtence IT et Sociëtë numërique 6/62 0 1.4. Chronologie des ëvënements Juillet-Oct. 2020 Plusieurs indices de la part de la sociëtë civile, des mëdias et de la Fëdëration romande des consommateurs par rapport ä des traitements de donnëes effectuës par I'applicationSocialPass potentiellementcontrairesau cadre lëgal. 23.10.2020 Prise de contact par le PFPDT par ëcritaprës un ëchange tëlëphoniqueavec SwissHelios Särl Ie 23.10.2020, demande de prëcisions quant ä la confidentialltë et la sëcuritë des donnëes et la double authentification. 03.11.2020 Courrieldu PFPDT ä SwissHelios Särl concernantla demande du 23.10.2020 restëe sans rëponse, questions complëmentaires avec dëlai de rëponse jusqu'au 09.11.2020. 03.11.2020 Demande de SwissHelios Särl de mettre le cabinet d'avocats Lexing Switzerland, Sion en copie. 09.11.2020 Courriel de Lexing Switzerland informant le PFPDT d’intervenir pour SwissHelios Särl, demande d’adresser toute correspondance ultërieureä Lexing Switzerland (ëlection de domicile en l’ëtude Lexing Switzerland). 09.11.2020 Courrielde SwissHeliosSärl au PFPDT, complëmentaux rëponses re9ues par Lexing Switzerland, NewCom4U Särl fait sa premiëre apparitiondans la prësente affaire et lit ce courriel en copie. 10.11.2020 Courriel du PFPDT ä SwissHelios Särl, accusë de rëception des rëponses sommaires, reprise de contact prëvue aprës ëvaluation interne des rëponses regues. 10.11.2020 Courriel de SwissHelios Särl d'adresser toute communication ultërieure directement ä SwissHelios Särl 11.11.2020 Courriel du PFPDT ä Lexing Switzerland de la demande de SwissHelios Särl de communiquerdirectement avec SwissHelios. 26.1 1.2020 (_,ourrieldu PFPDT ä SwissHeliosSärl et NewCom4USärl demandantdes prëcisions jusqu’au 04.12.2020. 07.12.2020 Courrieldu PFPDT ä SwissHeliosSärl et NewCom4USärl, rappel suite ä la demande du 26.11.2020 restëe sans rëponse, rëponse par NewCom4U Särl faisant valoir des problëmes linguistiques. 08.12.2020 Courriel du PFPDT ä SwissHelios Särl et NewCom4U Särl concernant les problëmes linguistiquesmis en avant par les exploitants. 18./23.12.2020 Courrierecommandë (avec copie prëalablepar courriel)du PFPDT ä SwissHelios Särl (Ie 18.12.2020) et ä NewCom4U Särl (Ie 23.12.2020), demande 7/62 0 de prëcisions du 26.11.2020 restëe sans rëponse, ouverture de la procëdure d’ëtablissement des faits selon l’art. 29 LPD 11.01.2021 Courriel de Lexing Switzerland au PFPDT demandant une prolongation du dëlai de rëponse, prolongationaccordëe par le PFPDT par courriel du 12.01.2021. 14.01.2021 Courriel de Lexing Switzerland au PFPDT, envoi de trois documents (Privacy and Cookies Policy – socialpass – 14102020.docx; Rapport technique SocialPass 14.01.2021. pdf ; Rëponses aux questions – PFPDT.docx) 15.01.2021 Courrielde LexingSwitzerlandau PFPDT, envoid'une procuration(incomplëte[ 26.01.2021 Courriel de Lexing Switzerland au PFPDT, envoi d’une procuration (complëte) pour le compte de NewCom4U Särl. 29.01.2021 Ëchange tëlëphonique entre SwissHelios' Särl et le PFPDT concernant la reprësentation de SwissHelios Särl par Lexing Switzerland. 03.02.2021 Courriel du PFPDT ä Lexing Switzertand, accusë de rëception des documents re9us, dëlai pour soumettre les documents manquants fixë au 10.02.2021. 09.02.2021 Courriersdu PFPDT ä Lexing Switzerfandet ä SwissHeliosSärl, avis relatifä la jonction prëvue des procëdures, soumission de questions supplëmentaires (responsables des traitements de donnëes, dëtails sur le transfert des numëros de tëlëphone aux Etats-Unis), dëlai de rëponse fixë au 17.02.2021. 11.02.2021 Courriel de Lexing Switzerland au PFPDT, soumission de deux rapports d’audit. 18.02.2021 Courrier de Lexing Switzerland au PFPDT, demande de prolongation de dëlai 19.02.2021 Courrier du PFPDT ä Lexing Switzerland, prolongationde dëlai accordëe, au 26.02.2021 pour la question de la jonction de procëdure, au 05.03.2021 pour les rëponses aux questions supplëmentaires. 04.03.2021 Courriers du PFPDT ä Lexing Switzerland et ä SwissHelios Särl, avis relatif ä la jonctiondëfinitivedes procëdures,demande de prëcisions,demande de divers documents manquants, questions supplëmentaires sur divers aspects restës peu clairs, dëlai fixë au 17.03.2021 (entrant). 05.03.2021 Courrierde LexingSwitzerlandau PFPDT, avec des rëponses sur la question du maTtredu fichier(SwissHelios Särl) et concernant le transfertdes numëros aux Etats-Unis. 17.03.2021 Courrier de Lexing Switzerland au PFPDT, confirmant d’intervenir au nom et pour Ie compte de NewCom4U Särl et de SwissHelios Särl (une procuration serait fournie ultërieurement), comprenant un nombre d’annexes et de rëponses aux questions posëes. 19.03.2021 Courriel de NewCom4U Särl au PFPDT, envoi du rapport Navixia. 8/62 0 22.03.2021 Courriel de Lexing Switzerland au PFPDT prëcisant que SwissHelios Särl estime qu’une procurationformelle n’est pas nëcessaire, confirmationqu’aucun autre document ëtait disponible. 25.03.2021 Courriel de NewCom4U Särl au PFPDT soumettant quelques informations actualisëessur SocialPass. 07.04.2021 Courrier du PFPDT ä Lexing Switzerland, recommandation provisoire d'adapter au plus vite les possibilitës de traitements de maniëre ä ce qu'il soit possible d’exploiter l’applicationen conformitë avec le droit fëdëral (avant la rëouverture des restaurants). 21.04.2021 Courriel du PFPDT ä Lexing Switzerland, le courrier du 07.04.2021 (recommandationsprovisoires) ëtant restë sans retour demande de confirmer jusqu’au 26.04.2021 que les fonctions de recherches cibËëes seront adaptëes ainsi que comment et dans quel dëlai cela serait fait. 23.04.2021 Courrier de Lexing Switzerland informantle PFPDT que la recommandation provisoire ne sera pas suivie, soumissionde divers documents. 20.05.2021 Courrier du PFPDT ä Lexing Switzerland, notification des faits ëtablis provisoirement et possibilitë de prësenter des remarques aux faits ëtablisjusqu’au 27.05.2021 (entrant) mentionnant qu’au vu de la rëouverture probable de l’intërieurdes restaurants Ie 31.05.2021, une prolongationde dëlai ëtait exclue. 21.05.2021 Courrier de Lexing Switzerland au PFPDT, demande de prolongationde dëlai de rëponse d’au moins 30 jours. 25.05.2021 Courrier du PFPDT ä Lexing Switzerland, refus de la demande de prolongation de dëlai notantque des remarques pourronttoujoursëtre faites dans le dëtai imparti. 27.05.2021 Courrierde LexingSwitzerland au PFPDT,demandede rëcusationdes collaborateurs en charge du dossier. 28.05.2021 Courrier du PFPDT ä Lexing Switzerland, dëcision de non-entrëe en matiëre par rapport ä la demande de rëcusation (et notificationde la dëcision aux Commissions de gestion des Chambres fëdërales en tant qu’autoritë de surveillance du PFPDT). 28.05.2021 Courrier du PFPDT ä Lexing Switzerland, clöture et notification du rapport final et des recommandations, les parties disposent d'un dëlai de 30 jours pour prendre position 01.06.2021 Courrielde GastroVaud,GastroValais et les exploitantsde SocialPass adressë au PFPDT, aux Prëposës cantonaux vaudois et valaisans et aux Mëdecins cantonaux vaudois et valaisans, proposition d’une visËoconfërence. 9/62 0 07.06.2021 1ë’' visioconfërence organisëe par GastroVaud ä laquelle participent, entre autres, les exploitantsde SocialPass et teur avocat (agissant ëgalement en tant que Prëposë valaisan ä la protection des donnëes), une reprësentante de la Prëposëe ä la protectiondes donnëes du canton de Vaud, les mëdecins cantonaux vaudois et valaisans et le Prëposë fëdëral, M. Adrian Lobsiger, aËnsi que trois reprësentants de son autoritë. Proposition d’une dëmonstration du systëme par les exploitantsde SocialPass dans le cadre d’une deuxiëmevisioconfërence. 08.06.2021 Courrierdu PFPDTä LexingSwitzerland rësumant les rësultatsde la visioconfërence du 07.06.2021. 14.06.2021 Courrierde LexingSwitzerlandau PFPDT notifiantIa fin du mandat de Lexing Switzerland dans la prësente procëdure. 18.06.2021 Courriel de SwissHelios Särl au PFPDT par rapport ä une dëmonstration du systëme, demande de prolongation de dëlai de 30 jours pour commenter le rapport final, la demande de rëcusation du 27.05.2021 est retirëe. 24.06.2021 2ë’"' visioconfërenceorganisëe par les exploitantsde SocialPass ä laquelle ont participë,entre autres, les collaborateursdu PFPDT en charge du dossier, les mëdecins cantonaux vaudois et valaisans, la prëposëe cantonaFevaudoise et le reprësentant lëgal de GastroVaud. 29.06.2021 Courrierdu PFPDT ä SwissHelios Särl et NewCom4USärl, confirmationde la prolongation de dëlai jusqu'au 16.07.2021. 09.07.2021 Soumission de la prise de position des exploitants de SocialPass. 04.08.2021 Clöture de la procëdure d’ëtablissement des faits et notificationdu rapport final complëtë, avis de la publication du prësent rapport sur Ie site internet du PFPDT 1.5. Portëe de la procëdure d’ëtablissement des faits La prësente procëdure a pour but de permettre au PFPDT de vërifier si les principes de la protection des donnëes tels que fixës notammentaux articles 4 et 7 LPD ainsi que les prescriptions sanitaires en matiërede tra9agesont respectëesdans le cadre de la gestionde SocialPass. Les analyses portentessentiellementsur la question de savoir quels traitementsde donnëes sont effectuës par SocialPass. II convient de distinguer ces traitements du traitement (ëventuellement plus ëtendu) de donnëes effectuëpar les ëtablissements accessibles au publicet de l’ëventueltraitement ultërieurpar les autoritës cantonales compëtentes (en cas d’infection au COVID-19). La prësente procëdure porte essentiellement sur le traitement des donnëes des visiteurs d’ëtablissements ou d’ëvënements ; Ë'applicationSocialScan, utilisëe par les ëtablissements, n'est 10/62 0 incluse dans la prësente procëdure que dans la mesure oü elle est pertinente au regard des donnëes des visiteurs. Dans cette perspective, le PFPDT examine les aspects suivants du traitement des donnëes dans le cadre de I'utilisationde I'applicationSociatPass : Quels sont les types de traitements de donnëes effectuës par SocialPass ? Quelles sont les catëgories de donnëes personnelles traitëes dans le cadre de l’utilisationde SocialPass ? Qui traite les donnëes ? Dans quel but les donnëes sont-elles traitëes, pour quelle durëe ? Quellesmesures de sëcuritë et de protectiondes donnëes ont ëtë mises en place ? Les traitements de donnëeseffectuëslors de la visitedu site web www.socialpass.ch ne font expressëment pas l’objet de la prësente procëdure. De mëme, les traitements de donnëes effectuës lors du tëlëchargement de 1’applicationSocialPass ou SocialScan dans I'AppStore ou dans le PlayStore ne sont pas analysës dans le cadre de la prësente procëdure. Les composants du systëme < CRM > et les sites web des deux entreprises SwissHelios et NewCom4U n'ont pas non plus ëtë examinës en profondeur. II est apparu, lors de I'examen initial, que ces composants ne sont pas directement impliquësdans le traitementdes donnëes des personnes concernëes, respectivement qu'il n’existe pas d'interfacesou de fluxde donnëes vers les coordonnëes collectëes. 1.6. Bases de l’ëtablissement des faits Le PFPDT s'appuie sur les sources suivantes pour la prësente procëdure d’ëtablissementdes faits: Informations accessibles au public, notamment sur Ie site web www.socialpass.ch et dans I'AppStore (iOS) et le PlayStore (Android) ; Correspondance avec les reprësentants de SwissHelios et NewCom4U depuis l’automne 2020 ; Rapports d’audits et documents supplëmentaires fournis par les parties selon Ie tableau ci- dessous. Audits Tableau 1: Rapports d’audit RaI>port d’audit Auteur Date [A] GVD7009 Recheck SocialPass_SocialScanv1.2.pdf Navixia 18.03.2021 [B] iOS Mobile Application Audit Report of Social Scan Indusface 04.1 1.2020 v1.0.pdf 11/62 0 [c] Android MobileApplicationAudit Report of Social Indusface 04.11.2020 Scan v1.0.pdf Documents supplëmentaires Tableau 2: Documents rëfërencës complëmentaires Document Auteur Date [D] Rapport technique SocialPass 14.01.2021.pdf L. Miceli 14.01.2021 [E] Fanti Diagramme.pptx S. Fanti 09.1 1.2020 [F] SocialPass - SocialScan Uebersicht - d.pdf SocialPass 09.1 1.2020 [G] Rëponses aux questions PFPDT 17032021 - scan.pdf A. Staeger 17.11.2021 [H] 2021 03 11 QuestionnaireTechniqueVI.pdf L. MËceli 17.03.2021 [1] Azu re-Sentinel-whitepaper.pdf Microsoft 17.03.2021 [J] Privacy and Cookies Policy - socialpass - SwissHelios 10.10.2020 14102020.docx [K] 2021 03 11 QuestionnaireTechnique.docx PFPDT 1 1.03.2021 Ä plusieurs reprises le PFPDT s’est adressë aux exploitantsde 1’applicationpour savoir si d'autres informations et documents pertinents ëtaient disponibles pour assurer le meilleur dëroulement possible de la prësente procëdure. Le PFPDT souhaitait notamment savoir quels composants du systëme avaient fait l’objet de contröles de sëcuritë, le cas ëchëant par des spëcialistes externes, et s'il existait des rësultats documentës, par exemple sous la forme d'ëvaluations de sëcuritë et de rapports de vulnërabilitë En dehorsdes documents mentionnësdans ce sous-chapitre, les exploitantsde 1’application ont assurë Ie PFPDT qu'aucunexamende ce type (par exemple pour le stockage de donnëes chez Microsoft Azure) n'a ëtë effectuë et qu'ils ëtaient donc dans l’impossibilitëde transmettreles rësultats d'un tel examen au PFPDT. 1.7. Analyses effectuëesdans le cadre de la prësente procëdure L’analyse technique de I'applicationSocialPass du PFPDT s’appuie sur les rapports d’audit des entreprisesIndusface du 4 novembre2020 et Navixia du 18 mars 2021 ainsi que sur les documents supplëmentairessoumis au PFPDT par les reprësentants des sociëtës SwissHelios et NewCom4U. Lesdits rapports d’audit ont ëtë rëdigës entre les moËs d'octobre 2020 et mars 2021, Aucune inspectiondes lieux en compagnie des responsables de SocialPass n’a eu Ëieu.Ainsi, toutes les informations- tant de nature technique que juridique – qui ont ëtë jugëes dëterminantes pour l’ëtablissementdes faits ont ëtë exigëes des reprësentants lëgaux des sociëtës SwissHelios et NewCom4U par ëcrit. Les questions du PFPDT s’appuyaient sur le cadre lëgal tel que prëvu par la LPD 12/62 0 et les prescriptionssanitairesen matiërede tragage, la norme ISO 27002ainsi que sur 1’OpenWeb ApplicationSecurity Project (OWASP) 1.8. Bases lëgales Les bases lëgales suivantes sont pertinentesdans le cadre de la prësente procëdure : Loi fëdërale du 19juin 1992 sur la protection des donnëes (LPD), RS 235.1 - Ordonnance du 14juin 1993 relativeä la lotfëdërale sur la protectiondes donnëes (OLPD), RS 235.11 Loi fëdërale sur la luttecontre les maladies transmissibles de I'homme (Loi sur les ëpidëmies, LEp), RS 818.101 Ordonnance sur les mesures destinëes ä luttercontre l’ëpidëmie de COVID-19 en situation particuliëre du 19 juin 2020 (Ordonnance COVI D-19 situation particuliëre), RS 818.101.26 1.9. Compëtence du PFPDT En vertu de 1’art.2 al. ler LPD, la LPD rëgit le traitement de donnëes concernant des personnes physiques et morales effectuë par des personnes privëes (physiques ou morales). La prësente procëdure d’ëtablissement des faits se penche sur diffërents traitements de donnëes effectuës par des entitës privëes, notamment la collecte puis l’enregistrement des coordonnëes des visiteurs effectuës par les exploitants d'ëtablissements ouverts au public dans le cadre de la lutte contre la pandëmie du (_,OVID-19. Dës lors, la collecte des coordonnëes des visiteurs teIle que prëvue par l’Ordonnance COVID-19 situation particuËiëreest une activitë privëe soumise ä la LPD et par consëquent ä la surveillance du PFPDT. Au contraire, le traitement des donnëes (ultërieur) par les autoritës cantonales (mëdecin cantonal, directionde la santë publique, ëquipe de tragage) tombe sous la surveillance des prëposës cantonaux respectifs 2. Faits ëtablis 2.1. Röles et responsabilitës Fort,e est de constater qu’au bas du site web www.socialpass.ch consacrë ä 1’informationdes citoyennes et citoyens, les coordonnëes de Swisshelios Särl ainsi que celles de HotelPro4U (produit de marketingdëveloppë par la sociëtë NewCom4U Särl) sont mentionnëes. Ainsi, sur Ie site web, les deux sociëtës apparaissent comme co-ëditricede 1’applicationSocialPass. Le fait qu’iI s’agit d’une coëdition semble ëtre confirmëpar les conditionsgënërales SocialPass et SocialScan (cf. https://www.socialpass.ch/termes-et-conditions/, versiondu 17 avril2021,ch. 1). En vertu du ch. 3 de 13/62 0 la dëclaration de confidentialitë– ëgalement disponible sur Ie site web1 – NewCom4U Särl est l’unique sociëtë responsable du traitementet maTtredu fichier. De surcroTt,et dans l’AppStore et dans le PlayStore, SwissHelios GmbH est mentionnë comme unique distributeurde SocialPass. Enfin, dans leur courrier du 26.04.2021, les reprësentants des exploitants de SocialPass font rëfërence ä plusieurs documents selon lesquels les exploitants de SocialPass ont ëtë mandatë par le canton du Valais et GastroVaud respectivement. Sur la base de la documentation ä notre disposition, GastroVaud aurait mandatë SwissHelios Särl alors que le canton du Valais aurait mandatë NewCom4U Särl pour l’exploitation de SocialPass 2.2. Composants et fonctions 2.2.1. AperQU Le systëme SocialPass se base essentiellement sur une application pour les entreprises (SocialScan, cf. chapitre2.2.3), une applicationpour les utilisateurs(SocialPass, cf. chapitre2.2.4) et une base de donnëes centrale (cf. chapitre 2.2.5). Un apergu du fonctionnementde SocialPass sous forme d’un schëma est ä disposition sous https://www.socialpass.ch/comment-cela-fonctionne/ (ëtat au 08.05.2021). Les exploitantsde 1’application SocialPass ont mis ä dispositiondu PFPDT la figure 1. Cette figure a servi de base pour 1’analysetechnique. Par la suite, notammenten raison du dëveËoppementde I'application,I'illustrationa ëtë complëtëe. Pour la collecte des coordonnëes des visiteurs, le systëme SocialPass prëvoit deux possibilitës : Gräce ä 1’application SocialPass le visiteurscanne un code-QR imprimë. L'exploitantde I'ëtablissementaccessible au publicscanne le code-QR des visiteurs. Le schëma suivant illustrela deuxiëme possibilitë de collecter les coordonnëes des visiteurs. 1 https://www.socialpass.ch/mentionslegales/ 14/62 MIt 2864)A Schhrs8el geskhed BetrIeb Gesicherte Datenbank Social&an Gesicherter Direktzugang Information Instruktion Gast 2 - n §ocialPass Figure 1: Schëma tel que figurant dans Ie document SocialPass-SocialScan Uebersicht-d.pdf 2,2.2. Description du processus d’enregistrement (1) Aprës avoir installë I'application,celle-ci est ouverte et aprës avoir sëlectionnë la langue appropriëe (allemand, anglais, fran9ais, italien ou espagnol), les eonditionsd'utilisation, y compris la dëclaration de confidentialitë,apparaissent. Celles-ci peuvent ëtre soËtacceptëes soit rejetëes. (2) Aprës avoir acceptë les conditions d'utilisation, I'utilisateur doit saisir son numëro de tëlëphone. Ensuite, un masque d'enregistrement apparait, dans lequel il doit impërativement indiquer son nom, son prënom et son code postal. II importe peu que les donnëes soient correctes ou non, ä I'exceptiondu numëro de tëlëphone. (3) En cliquant sur < inscription», les donnëes spëcifiëes sont envoyëes ä « Twilio > (service tiers amëricain). Au cours de ce processus, un code QR est gënërë et stockë sur l’appareil mobile de l’utilisateur.Cela signifiequ'un visiteur d'un ëtablissement (par exemple d’un restaurant) peut soit faire scanner ce code QR par le personnel du restaurant (possËbilitë2), soit scanner un code QR sur la table (avec le numëro de la table) – processus qui correspond ä la premiëre possibilitëdëcrite ci-dessus. II est ëgalement possible d’enregistrer des personnes qui n'ontpas 1’application SocialPass via la saisie manuelle(cf. chapitre2.4.1), par exemple parce qu’elles n'ont pas d’appareil mobile. (4) Les donnëes sont ensuitecryptëes et transfërëes directementvers une base de donnëes SQL centrale (Microsoft Azure), qui est hëbergëe par Microsoft en Suisse. Cela permet aux traceurs autorisës d'accëder directement aux donnëes afin de prëvenir les personnes potentiellement infectëes 15/62 0 (5) Le fait de quitterun ëtablissement (saisi par un autre scan) est ëgalement enregistrë et transfërëdans Ia base de donnëes. Processus documentationvisites TOb4B 8 c08yr&##cabcxt d 6hckß9e en Oruanbateurs natIon Instruction - Quarantaine Vlstteur 1 Vi$tteur82 . n Trageurs ae contact des So GirlPass 1 o.-i’ !Pass mëdecins cantonaux Si direct sëcuhtë par autlrentlficatm d(utie facteur Figure 2: Schëma actualisë du mode de fonctionnement de SocialPass (6) La figure 2 montre qu'un traceur peut accëder directement aux informations des visiteurs potentiellement infectës sur la base de donnëes en utilisant une authentification ä deux facteurs. En outre, les autoritës cantonales ont un accës direct aux donnëes enregistrëes dans Ia base de donnëes Azure lorsque I'utilisationde I'applicationSocialPass est rendue obligatoire par ces autoritës (cf. chapitre 2.2.5.b). (7) La figure 2 montre ëgalement que l’accës des mëdecins cantonaux aux donnëes diffëre d’un canton ä un autre. Selon le modële choisi, les exploitants d’ëtablissements accessibles au public peuvent demander une liste d'informations sous forme de fichier Excel/PDF et la transmettre aux traceurs ou si les traceurs peuvent accëder directement aux coordonnëes des visiteurs. 16/62 0 2.2.3. Fonctions deSocialScan Le composant SocËalScan est utilisë par un ëtablissement accessible au public (par exemple un restaurant) pour enregistrer les coordonnëes des visiteurs et peut ëtre installësur les pIateformes iOS et Android. Lors de I'enregistrementd'un ëtablissementdans SocialScan dans Ie but de crëer un compte, les donnëes suivantes sont collectëes (les champs obligatoires ëtant marquës par un *) : «Organisation»*: restaurant, ëvënement, religion, prestations de service, restaurant Berne, sport, gënëral – simple, famiIIe, chantier de construction, centre de formation, EMS ou organisation partenaire Nom* Adresse* Code postal* Ville* E-Mail* Tëlëphone* Nom de la personne responsabËe* Mot de passe* L’adresse mail et le mot de passe sont utilisës pour crëer un compte d’utilisateur Les donnëes des ëtablissements sont traitëes ä deux fins diffërentes. D'une part, lors d'une visite dans un ëtablissement accessible au public, les coordonnëes des visiteurs sont complëtëes avec les donnëes portantsur l’ëtablissement, l’ëvënement, etc. puis transmises ä la base de donnëes centrale aux fins de la collecte des coordonnëes des visiteurs/ä des fins de tra9age (contact tracing). D’autre part, les donnëes sont transfërëes dans le systëme de gestion de la relation client (Customer Relationship Management, CRM) de NewCom4U Särl. En fonction de I'abonnement conclu entre les ëtablissementset les exploitantsde SocialPass, ce systëme gëre les processus de paiement pour I'utilisationde I'application. 2.2.4_ SocialPass : enregistrement et utilisation SocialPass est le composant utilisë par les clients d'un ëtablissement. L'applicationest gratuite et peut ëtre utilisëesur les appareils iOS et Android Aprës avoir tëlëchargë le composant SocialPass sur son tëlëphone mobileet acceptë la dëclaration de confidentialitë (un document intitulë < SocialPass – SocialScan et la protection des donnëes > consultable sous https://www.socialpass.ch/mentionslegales/; ëtat au 10.05.2021), l’utilisateur doit 17/62 0 indiquerson numëro de portablequi est ensuite vërifië. La vërificationse fait via le prestataire amëricain < Twilio > (cf. chiffre 2.5.2), toutefois I'utilisateur n’en est pas informë. L'utilisateur re9oitun code de vërification par SMS sur le numëroindiquëet procëdeensuiteä < 1’enregistrement du client>. A cette fin, iIdoit indiquer les donnëes suivantes (les champs obligatoires ëtant marquës par un *) : Nom* Prënom* Numëro de tëlëphone mobile* (repris du pas prëcëdent) Code postal* Date de naissance Adresse E-Mail II convientde noter que la date de naissance constituaitun champ obligatoireau dëbut de la procëdure d’ëtablissement de faits, ce qui a ëtë adaptë au cours de la procëdure. Ä 1’exceptiondu numëro de tëlëphone (voir ci-dessus), les donnëes enregistrëes par l’utilisateur ne sont pas vërifiëes. Elles peuvent en outre ëtre adaptëes ä tout moment. Lorsque l’utilisateurveut changer le numëro de tëlëphone mobile indiquë lors de l’enregistrement, iI re9oit un nouveau code de vërification. Les coordonnëes collectëes sont sauvegardëes localement sur l’appareil mobile de l’utilisateur. Une fois l’inscription complëtëe, l’utilisateur dispose d’un code QR qui peut ëtre affichë sur son portable. 11peut ensuite montrer ce code ä l’exploitantde l’ëtablissement lorsqu’iI accëde audit ëtablissement. L’expËoitantscanne alors Ie code QR gräce au composant SocialScan. Le client peut ëgalement scanner lui-mëme, ä I'aide de 1’applicationSocialPass, un code QR fourni par I'exploitantde l’ëtablissement accessible au public et I'utiliser pours’enregistrer. 11convient de noter que dans cette deuxiëme hypothëse, iI n’est pas possible de vërifier si Ie code QR mis ä disposition par l’exploitant de l’ëtablissement ne renvoiepas ä un contenudangereux, puisqueI'application ne demande pas de reconfirmationavant de transmettre les donnëes aprës Ie scan du code QR Quand Ie code QR de l’utilisateurest lu par un appareil de I'exploitantou que l’utilisateurscanne Ie code QR mis ä disposition par I'ëtablissement, les coordonnëes des visiteurs enregistrëes, complëtëes par les donnëes relativesä la visite dans I'ëtablissement(« dëtails de prësence dans une organisation ») sont alors transfërëesdans une base de donnëes SQL (MicrosoftAzure, cf. chapitre2.5.3) 18/62 0 2.2.5. Base de donnëes centralisëe a. Gënëralitës Lors d'une visite, les coordonnëesdu visiteur(nom, adresse, email, numëro de tëlëphone, etc.) sont combinëes avec les donnëes de I'ëtablissement accessible au public (nom, emplacement, table, etc.) et Ie momentde la visite (checkin/ checkout) pour former un ensemble de donnëes. Cet ensemble de donnëes (coordonnëes du visiteur/ donnëes de l’ëtablissement/ heures de prësence) est ensuite transmis de maniëre cryptëe et stockë dans ia base de donnëes centrale d'Azure (Suisse Nord / Zurich). Les interfaces de programmation API (Application Programming Interfaces) sont utiËisëes pour la transmission des donnëes D’une maniëre gënërale, les accës aux API sont protëgës par I'utilisationde jetons de sëcuritë du type JWT encryptë ä I'aide d’algorithmes AES 256. Les API sont aussi dëployës dans Ie cloud Azure Suisse. Le tableausuivant rëcapitule, ä titred’exemple, 1’ensemble des donnëes qui sont transfërëes ä la base de donnëes centrale en tant que « dëtails de prësence dans une organisation » aux fins de la collecte des coordonnëes des visiteurs en vertu des dispositions lëgales en vigueur : PresenceDatal D 4016282 Orqanizationl D 17800 LastName Doe FirstName John PhoneNr +41791234567 Reservation Date 2021-01-28 Field1 Value Table 2 C Berne PostalCode 3003 Canton Berne Arrival 2021-01-28 10:32:00.000 Departu re 2021-01-28 11:45:00.000 DateOfBirth 1999-01-01 Adress Feldeggweg 1 Les dëtails des prësences dans une organisation peuvent ëtre transmises soit par SocialPass ou par SocialScan, selon Ia variante utiËisëe(cf. chapitre 2.4), Malgrë les demandes explicites du PFPDT, iI n'a pas ëtë possible d'ëtablirquelles ëtaient les mesures de protectiondes donnëes dans Azure et si les donnëes sont stockëes sous forme cryptëe ou non (data at rest protection). Les dëtails de prësence dans une organisationsont supprimës aprës 14 jours. Ä cette fin, une täche planifiëe a ëtë exëcutëe ä I'aide de la fonction < WebJobs > ; Ie script fonctionne en continu et supprime automatiquement,deux fois parjour, les enregistrements de donnëes de plus de 14 jours. 19/62 0 Le stockage des dëtails de prësence dans une organisation transmËses est centralisë, c'est-ä-dire que Ie stockage desdits dëtails de prësence n’est ni physiquement ni logiquementsëparë, iI n'y a pas de sëgrëgation(sëparation) des donnëes par canton ou par ëtablissement accessible au public. En d’autres termes, iI n’y a qu'une seule base de donnëes centrale pour toutes les donnëes relatives aux visiteursde tous les ëtablissementsparticipantsau systëme SocialPass dans toute Ia Suisse. b. Accës des autoritëscantonales aux coordonnëes des clients 11y a deux possibilitës d'accës aux donnëes centralisëes lors d’un cas d’infection : la remise d’une liste ä I'autoritëcompëtente par l’ëtablissementou un accës direct par les autoritës en charge de la santë publique(cantonsde Valais et Vaud). Dans Ia variante « remise d’une liste » l’ëtablissement peut, si les autoritës compëtentes le lui demandentpour l’identification des personnes prësentes, tëlëchargerune listedes coordonnëes des visiteurs pour une përiode donnëe et la mettre ä la disposition de I'autoritë cantonale. Dans Ia variante < accës direct par les autoritës sanitaires » les autoritës cantonales compëtentes, comme p.ex. les mëdecins cantonaux, peuvent obtenir un accës direct ä la base de donnëes Azure. Chaque canton peut, s’iI le souhaite, demander un accës direct sur la base de donnëes centralisëe, Les mëdecins cantonaux sont alors dans le röle du < power user » qui leur permet de crëer des logins pour leurs co11aborateurs.Actue11ement (ëtat au 10.05.2021), seuls les autoritës sanitaires des Cantons de Vaud et Valais ont la possibilitëd’accëder directementaux bases de donnëes centralisëes. Par le biais de cet accës direct ä la base de donnëes, les autoritës cantonales peuvent effectuer de multiples traitements de donnëes. 20/62 0 Le schëma suivant illustreles fonctions que les autoritës sanitaires peuvent utiliser Add 1 Under thr+eü! User Fxport tn CSV Elpert to End API addy= 14)(lülleBser #_______ ,...N,_,,.„=H.,nh_, rldaH#881 Figure 3: BackofficeHealthAuthority– Diagrammelogiquedu fluxde donnëes, dans : Rapporttechnique (Document [DD, p. 17 Le systëme SocialPass met ä disposition plusieurs fonctions pour traiter les donnëes des visiteurs Ainsi, les autoritëssanitaires disposent des fonctions suivantes en fonctionde leurs permissions : • Gestion des collaborateurs (cf. HealthAutority dans le schëma ci-dessus) • Chargement du fichier des cas positifs (cf. Upload positive cases dans le schëma ci-dessus) • Recherche(cf. Search dans le schëma ci-dessus) •Total des cas par organisation(cf. Total cases by organization dans le schëma ci-dessus) 21/62 0 La premiëre fonction est accessible aux personnes disposant d'un droit d’administrer les collaborateurs. TroËstypes de droits sont disponibles : • Primary (permet d’administrer) ' Power (permet d’importer/exporter) • Normal (permet de visualiser) Le type Primary est dëfini par l’ëquipe de support de SocialPass. En gënëral c’est le compte du Mëdecin Cantonal. Un canton spëcifique est indiquë pour le Primary. Le type Power et Normal est dëfini par l’utilisateurde type Primary. Le canton ne peut ëtre changë, ainsi, par exemple, si un Primary est rattachë au canton de Vaud, le Power et Ie Normal le seront ëgatement. L’ancrage ä un canton limitepar la suite la capacitëde la recherche ä ce seul canton. 11en dëcoule, par exemple, que les collaborateurs du canton de Vaud n’auront pas accës aux donnëes des personnes rësidantes dans le canton du Valais Selon les informationssoumises par les reprësentants de SocialPass, aucune autre partie que les certains exploitants dëterminës en amont et les autoritës sanitaires n'ont accës ä la base de donnëes centralisëe. Les reprësentants lëgaux n’ont fourni aucune information ä propos de I'enregistrement des accës, bien que le PFPDT leur ait adressë plusieurs questions ä ce sujet. Ainsi, sur la base de la documentation disponible, le PFPDT n'a pas pu procëder ä une conclusion claire en la matiëre La deuxiëme fonction (Upload positive cases) permet de charger Ia liste des cas ayant ëtë testë positifs au Covid-19. La troisiëme fonction (Search) permet de rechercher des prësences dans des organisations (ëtablissements accessibles au public) en utilisant plusieurs filtres. Lors de requëtes diffërents champs de donnëes peuvent ëtre utilisës (voir Ia capture d'ëcran ci-dessous). Ce mode de recherche permet de spëcifiquement rechercher des personnes individuelles (nom, prënom), des numëros de tëlëphone ou des codes postaux. La recherche peut ëtre limitëe dans le temps et/ou ä des ëtablissements spëcifiques (filtre). Les requëtes permettentd'effectuer des recherches avec des caractëres gënëriques, ce qui permet d'obtenir un grand nombre de rësultats. 22/62 0 1:ttFreIeto OFhH olW'ü14tßoonKyuj+a A+#n\Cal6 611B CxlgbaTUI EHud aIMunab+bb QmnHrlIHuB• OBHH+L88tHHBe nHnBl ruHen LHlbUe GnHI Ardfd OBeRn aHh8 !! !: tHBüIF :: nunNb8 :: SU 8 One/}hB 8 Daß/n AdHnCab lin &IIII nHI OWÜBIB ugjll TaU 3 HaftEn 26artig9 menGe 8118 nun HIn , @96srßn8 vbIll bbk 2 KiafiBot a&nrtkSB Aal#Bah no hIhi Uh Hin UB63an6VH TöBbFI KIaraBe aKUPPBIR AdBHQBglü1180 nHhöße Re4LA aRNe8aßUHI abb 6 Kafit+8 e&w169p Figure 4: Options de recherches pour les autoritës sanitaires, dans Rapport technique (Document [DD, p. 75 La quatriëme fonction(Total cases by organization) permet de retrouver les organisations (ëtablissements accessibles au public) dans lequel des cas positifs ont effectuë une visite. Les options de recherche suivantes sont alors disponibles : • Voir les cas positifs • Exporter Ia liste des cas positifs, y compris les personnes en contact direct avec la personne infectëe • Exporter Ia liste des personnes ayant frëquentë le mëme ëtablissement que les cas positifs • Exporter uniquementles numëros de tëlëphone des personnes en contact direct avec les cas positifs (option < Atlas > spëcifique au canton du Valais). Ä partir de la recherche des cas positifs dans les organisations on peut obtenir l’identification de ces cas. Ä partir de la recherche prëcëdente on peut obtenir Ia liste des personnes ayant ëtë en contact direct avec les cas positifs. Pour cette option de recherche, la restriction sur le canton ne s’applique pas. Tous les contacts du cas positif sont identifiës. 2.3. But de la collecte des donnëes Selon Ie ch. 7 de la dëclaration de confidentialitë2,qui trouve son fondement dans l’Ordonnance Covid- 19 situationparticuliëre,la collecte des donnëes se fait uniquement dans Ie but de les transmettre aux autoritës publiques en cas d'infection confirmëe de COVID-19 au sein de l’ëtablissement accessible au public, 2 Document < SocialPass - SocialScan et la protection des donnëes », https://www.socialpass.ch/mentionslegales/, ëtat au 10,05.2021 ; identique au document < Privacy Policy - SocialPass et SocialScan », annexe n' 1 au courrier du 26.04.2021 23/62 0 2.4. Description des diffërents modes de fonctionnement 2.4.1. SocialScan : saisie manuelle (enregistrement des clients rëguliers) Lorsque l’exploitantde l’ëtablissementaccessible au public enregistre les coordonnëes du client manuellement (saisie manuelle), le client devrait, en principe, pouvoir choisird'ajouter ses donnëes ä la liste des < clients rëguliers >, d'imprimer un code QR ou de continuer sans rien faire. En pratique toutefois, le choix entre ces diffërences options appartient ä I'utilisateurde SocialScan. En effet, c'est l’utilisateurde SocialScan, c'est-ä-direI'exploitantde l’ëtablissementaccessible au publicqui dispose de l’appareil sur lequel SocialScan a ëtë tëlëchargë. Si le choix porte sur I'inscriptionsur de la liste des clients rëguliers, les donnëes sont stockëes localement sur I'appareil de l’utilisateurde SocialScan, c'est-ä-dire de l’exploitantde l’ëtablissement accessible au public. Les coordonnëes peuvent ensuite ëtre rëutilisëes lors d’une nouvelle visite via la fonction < saisie manuelle>. Lorsque la fonction « saisie manuelle > est choisie, la liste sur laquelle figure toutes les coordonnëes des « clients rëguliers » enregistrës s’affiche lorsqu’est sëlectionnëe la fonction< choisir un client ». L'utilisateurde SocialScan peut accëder ä cette listeä tout moment. Toutes les coordonnëess’affichentalors en texte clair. Sur la base des informationsoumises au PFPDT aucune fonctionpermettantde supprimer ä nouveau les donnëes enregistrëes ne semble exister. En outre, aucune informationsur la durëe de conservation des donnëes des < clients rëguliers » ne figure dans la documentationsoumise dans le cadre de cette procëdure La liste des < clients rëguliers » peut ëgalement ëtre exportëe ä des fins de < synchronisation > avec d’autres appareils de I'exploitantde l’ëtablissement accessible au public (p.ex. lorsque l’ëquipe de service est composëe de plusieurs collaborateurs). L’ensemble des donnëes des < clients rëguliers » peut ëtre affichëe sous forme d'un code QR. Ce code QR peut ensuite ëtre lu directement ä partir d'un autre appareil (importation) ou imprimë (puis lu par les appareils des diffërents collaborateurs) Enftn, iI convient de noter que lorsque les coordonnëes d’un < client rëgulier» sont enregistrëes, le numëro de tëlëphone de ce client n'est pas vërifië – contrairement ä ce qui est prëvu lors du tëlëchargementde 1’applicationSocialPass Les deux captures d’ëcran suivantes montrent Ie point de menu pour ta saisie manuelle des donnëes des < clients rëguliers > dans Socialscan et les donnëes ä saisir et ä transmettre 24/62 0 A- SocialScan + Soumettre les informations aHH ahoi.sir un client 16b EntFëe 0 Srxtie. O h&nl 0 0 INFOSCLIENTS ®IEp Nam- Dëpan rna:1ITh Prëirolll- Forrctions S:9 MobIle* @1 tkrnandu la bste Caltl€ikr Code po stal1 Adresse <>RCtxle rnultipk Date de naissanc:e Version: 6.3 §uppört FIFa:1 NFOS-EMS _• - Date W 08.01.2021 0 Heu ;e 10:37 Figure 5 : ëcrans de SocialScan. dans : Rapport technique (Document [DD, p. 61ss. Ä noter : la fonction ëtait appelëe < entrëe manuelle > dans Ia version 6.3 et a ëtë renommëe < saisie manuelle > dans Ia version actuelle. 25/62 0 2.4.2_ Stockage des numëros de tëlëphone mobile issus du processus d'enregistrement Au cours du processus d'enregistrement, le numëro de tëlëphone mobile est traitë dans Ie but de vërifier I'authenticitëdu numëro indiquë. Avant de dëclencher la vërification par SMS gräce aux services Twilio, iI est vërifiësi le numërode tëlëphoneindiquëa dëjä ëtë utilisëune fois pour I'inscriptiondans SocialPass. Ä cette fin, tous les numëros de tëlëphone mobile utilisës prëcëdemment sont stockës de maniëre centralisëe sur Microsoft Azure. Lorsqu’un nouvel enregistrement est effectuë, ces donnëes sont interrogëes 11n'y a aucune indicationque tes numëros de tëlëphone sont supprimës aprës une certaine përiode de temps. En outre, I'utilisateurn'est pas informë de ce stockage permanent lors de la procëdure d'enregistrement. II n'y a pas non plus d'indication sur la maniëre dont I'utilisateurpeut faire supprimer ces donnëes. II est importantde noter que le traitementdu numëro de tëlëphone rëpond ä deux objectifs diffërents D'une part, le numëro de tëlëphone est traitë afin de procëder ä sa vërification de ce numëro par l’envoi d’un SMS et, d'autre part, pour rëpondre aux exigences lëgales qui fixent que la collecte du numëro de tëlëphone est obligatoire afin de permettre le tragage (contact tracing). Ce sous-chapitre se penche sur Ie traitementdes donnëes tel que prëvu par Ie premier objectif dëcrit ci-dessus. 2.5. Services de tiers 2.5.1. Infomaniak Le site www.socialpass.ch sert principalementde portaild'information pour la plateforme SocialPass et est hëbergë par Infomaniak en Suisse. Infomaniak est un hëbergeur suisse dont les centres de donnëes sont situës exclusivementen Suisse. Ä I'origine, le site www.socialpass.chëtait hëbergë par un fournisseuren France. Aprës Ie premier audit de la sociëtë Navixia SA en novembre 2020, l’hëbergement a ëtë confië ä Infomaniak en Suisse. Le fonctionnementdu site web et le traitementdes donnëes associë ne sont pas examinës dans le cadre de cette enquëte. Sur la base des informationsä notre disposition, iI n’y a pas d'ëchange de donnëes entre Ie site web et les applications SocialPass ou SocialScan ; au moment de la prësente enquëte, le site web est uniquement utilisë ä des fins d'Ënformation. 2.5.2. Twilio Twilio est une entreprise amëricaine basëe ä San Francisco, aux Ëtats-Unis. EIle exploite une plateformede communicationen nuage en tant que « Platformas a Service >. 26/62 0 Aprës I'enregistrement initialauprës de SocialPass, TwiliopermetI'envoidu SMS aux utilisateursde SocialPass. En recevant Ie SMS, la validitë du numëro du client est confirmëe. Ä la fin du processus de vërification,une clef unique est renvoyëe par ce service si le processus a pu ëtre achevë correctement, Force est de constaterque lors de l’utilisationdu service Twiliodes donnëes personnellesau sens de la LPD, notamment les numëros de tëlëphone des visËteurs, son transfërëes aux US. Toutefois, sur la base de la documentationä notredisposition, nous constatons que les opërateurs de SocialPass n'ont pas vërifië si des mesures autres que celles prëvues dans les clauses contractuelles ëtaient nëcessaires et, le cas ëchëant, si elles avaient ëtë mises en place. La finalitëde la collecteet du traitementdes numëros de tëlëphonene ressort pas clairementdes documentsoumisau PFPDT ; toutefois,sur la base des informations dont nous disposons,ces donnëes ne semblentpas ëtre traitëesen tant que coordonnëes,mais sont traitëesafin de vërifier l’authenticitë du numëro de tëlëphone indiquë. 2.5.3. MicrosoftAzure (base de donnëes SQL) Une base de donnëes Azure SQL de Microsoft, hëbergëeen Suisse, est utilisëepour stocker les donnëes tel que dëcrit ci-dessus. Les rapports de test [B] et [Cl qui nous ont ëtë fournis ne concernent que le composantSocialScan pour Android et iOS. Ils ne contiennentaucune informationsur le composant SocialPass ou les services de fournisseurs tiers, tels que Twilioou MicrosoftAzure. Afin de permettre au PFPDT de mieux ëvaluer le traitement en termes de sëcuritë et de protection des donnëes, des rëponses spëcifiques supplëmentairesont ëtë demandëes ä SwissHelios dans Ie document [K] Dans ce contexte, la question a ëtë posëe de savoir si Azure ëtait configurë conformëment ä la Baseline, par exemple. Cette question est restëe sans rëponse jusqu’ä ce jour. Le document [1]a ëtë soumis ä titred'information.Toutefois,iI ne contientaucune informationsur les mesures prises pour sëcuriser le systëme ni sur la mise en @uvreeffectiveet le contrölede ces mesures. Dans la rëponse (4-c) du document [H], les exploitants de SocialPass expliquent que la fonction d’audit est activëe sur Azure, qui enregistreles accës ä la base de donnëes. EIle prëcise ensuite que I'infrastructureAZURE dispose de toutes les fonctions de sëcuritë, de journalisation et de tragage. II n'est pas expliquë si et comment ceux- ci sont utilisëset donc activës. Dans ce cadre se pose ëgalementla questionde savoir si des identificateurset/oud'autres donnëes personnelles ont ëtë enregistrës dans Azure en plus des donnëes des visiteurs/clients(=prësence) et si oui, lesquelles. 2.6. Information et droits des personnes concernëes 2.6.1. Informationdes utilisateurs Au cours de la procëdured'ëtablissementdes faits, la dëclarationde protectiondes donnëes et d'autres informations publiquement accessibles, ä savoir les informations disponibles sur Ie site web www.socialpass.ch, ont ëtë considërablement modifiëes. Actuellement (ëtat au 10.05.2021), tant les 27/62 0 liens dans I'AppStore (Apple/iOS), dans le PlayStore (Google/Android) que dans les applications SocialPasset SociaËScan renvoient ä la dëclaration de protection des donnëessur Ie site www.socialpass.ch/mentionslegales/, ce qui ëtait encore incohërent au moment de I'ouverture de la procëdure. 2.6.2. Droits des personnesconcemëes a. Exercice du droit d’accës Le document « SocialPass – SocËalScan et la protection des donnëes »3, accessibles via I'application, les AppStores et Ie site web sous le titre < Protection des donnëes », indique une adresse de contact pour les utilisateurs (info@socialpass.ch; ëtat au 10.05.2021 ) En outre,la dëclaration de protection des donnëescontientdes informations sur les droitsdes personnes concernëes (cf. ch. 6). b. Exercice du droit ä l’effacement des donnëes L’effacementse fera de fa9on automatisëeaprës la durëe de conservation de 14 jours prëvue par I'Ordonnance Covid-19 situation particuliëre Par contre, lorsque la fonction < Saisie manuelle > (cf. chapitre 2.4.1) est utilisëe, les coordonnëes des < clientsrëguliers > restentenregistrëes sur l’appareil de l’ëtablissement. Sur la base de la documentation soumise au PFPDT, aucune possibilitë d’effacer les donnëes des < clients rëguliers > des appareilsdes ëtablissementsaccessibles au public ne sembleavoir ëtë prëvue par les exploitants de SocialPass. Aucune informationn'est disponiblesur la question de savoir si une sollicitationä 1’adressedes utilisateursde supprimer I'application,et donc toutes les donnëes personnellesdëtenues sur les appareils, est prëvue lorsque les dispositions pertinentes fondëes surl’Ordonnance COVI D-19 Situation particuliëre ne seront plus en vigueur, 2.7. Aspects de sëcuritë des donnëes 2.7.1. Organisation de la sëcuritë de 1’information Le PFPDT a demandë aux opërateurs de I'application,au moyen d'un questionnaire,comment les responsabilitës en matiëre de sëcuritë de I'information et de protection des donnëes sont dëfinies, documentëes et attribuëes entre les deux exploitants de 1’application.Dans leur rëponse ä ce 3 https://www.socialpass.ch/mentionslegales/ 28/62 0 questionnaire technique, les exploitants de I'application ont indiquë que la rëpartition des responsabilitës en matiërede sëcuritëde I'informationet de protectiondes donnëes n’a pas pu ëtre fixëe (ni par oral ni par ëcrit), notamment en raison des modificationsconstantes de I'applicationau niveau cantonal ainsi qu’en raison des dëveloppements rapides, mais que peu prëvisibles de la pandëmie. 2.7.2. Login avec double-authentification Sur la base des informationssoumises au PFPDT, iI n'est pas clair si et, le cas ëchëant, quels composants du systëme de SocialPass sont sëcurisës au moyen d'une authentificationä deux facteurs. 2.7.3. Identifiantsde l’utilisateur Selon le chapitre [D] "8.11 - Device - Structure des donnëes", diffërents identifiants d'utilisateur sont utilisës. Outre le numëro de tëlëphone, iI convient de mentionner explicitement I'utilisation de I'IMEI (International Mobile Equipment EntËty, un numëro de sërie ä quinze chiffres unËque au monde de I'appareil)et d'un numërod'utilisateuruniqueUID (Unique ID) de Google Firebase. Aucune autre donnëe pseudonymisëe servant ä identifierde maniëre unique les personnes concernëes n'a ëtë mentionnëe,mëme aprës des demandes explicitesdu PFPDT. 2.7.4. Gëolocalisation SocialPass n’utilise pas la gëolocalisation 2.8. Analyse de 1’auditde Navixia SA Les composants < SocialPass > et < SocialScan » ont fait I'objet d'un test de vulnërabilitë par NavixËa SA, pour le compte de GastroVaud, aux dates suivantes. Cela vaut pour les systëmes d'exploitation iOS et Android. Date Processus 18 mars 2021 Rapport, y compris Management Summary v.1.2 12 au 18 mars 2021 Test du cryptage mis en oeuvre 7 dëcembre 2020 Rapport, y compris Management Summary v.1.1 4 dëcembre 2020 Vërifications 2 et 3 16 au 18 novembre 2020 Kick-Off et test Selon le rapport « Analyse de sëcuritë (recheck) Applications SocialPass & SocialScan v. 1.2 > datë du 18 mars 2021, tous les ëlëments des applications susceptibles d'ëtre pertinents pour la sëcuritë ont ëtë 29/62 0 examinës. Cela comprend le stockage des donnëes, la confidentiatitë, la cryptographie, I'authentification, la communication rëseau et les paramëtres de construction. Pour analyser les applications mobiles, Navixia SA suit une mëthodologie basëe sur I'ëvaluation des risques OWASP. Cette approche suit un processus structurë et rend tes rësultats obtenus comparables entre eux. Ä cette fin, pour chaque ëlëment identifië, la vulnërabilitëest dëcrite et son degrë de risque est cartographiësur la base du systëme normalisë CVSS (Common Vulnerability Scoring System). Les rësultats sont ëvaluës selon les critëres suivants : • Exploitabilitë : les vecteurs d'accës, la complexitë de I'accës et I'authentificationëvaluent comment un attaquant peut accëder ä une vulnërabilitë et quelles conditions supplëmentaires, le cas ëchëant, doivent ëtre remplies pourqu'elle soit exploitëe. • Implications : Les indices de protection des donnëes, d'intëgritë du systëme et de disponibilitë mesurent la maniëre dont une vulnërabilitë peut avoir un impact direct sur I'infrastructure informatique une fois exploitëe. Dans le CVSS, le score total d'une vulnërabilitë rësulte de la combinaison d'une sërie d'ëvaluations isolëes d'aspects indËviduels(mëtriques), en tenant compte des pondërationsenregistrëes dans la formule de calcul. Les indices de mesure ä cet effet sont indiquës ci-dessous avec les valeurs attribuëes correspondantes, Cet indice ëvalue Ie niveau d'autorisation qu'un attaquant doit avoir afin d'exploiter avec succës la vulnërabilitë. Haut: L'attaquant dispose de privilëges qui lui donnent accës ä des röles administratifs importants. Moyen : L’attaquantdispose de privilëges d'utilisateurde base qui peuvent affecter les paramëtres et les fichiers d'un utilisateur. Faible: L'attaquantn'a pas besoin d’ëtre authentifië lci, I'ëvaluationest basëe sur I'impactd'une vulnërabilitësur la confidentialitëdes donnëes traitëes. Confidentialitë Haut: 11y a une perte totalede confidentialitëet un attaquant obtËentI'accës ä toutes les ressources du composant affectë. Moyen : Un attaquant peut accëder ä certaines donnëes. Faible: II existe un faible risque d'accës aux donnëes au sein du composant concernë. 30/62 0 Cet indice dëcrit Ë'impactd'une vulnërabilitë sur I'intëgritë du systëme. Haut: 11en rësulte une perte totale d'intëgritë. Par exemple, l’attaquant peut modifier n'importequel fichier (ou ensemble de fichiers). Moyen : La modificationde donnëes est possible dans une mesure limitëe.Cependant, la modificationdes donnëes n'a pas d'impact significatif sur le composant concernë. Faible: 11y a un faible risque de perte d’intëgritë. Le degrë de danger est ëvaluë dans le rapport de Navixia SA sur la base des ëlëments ci-dessus sur une ëchelle de O ä 10. • Score entre 9,0 et 10: critique • Score entre 7,0 et 8,9: 111:jIt • Score entre 4,0 et 6,9: , • Score entre0,1 et 3,9: faible • Score 0: ä titre d’information Du point de vue du PFPDT, les interprëtationssuivantes doivent servir de rëfërence, en fonction de I'indiced’ëvaluation, afin de prëvenir les risques de violation de la protection des donnëes. Critique: Cette vulnërabilitëreprësente un risque inacceptable. L’application ne doËtpas ëtre mise en ligne ; si eIle 1’estdëjä, eIle doit ëtre dësactivëe immëdiatement. Haut; Cette vulnërabilitëdoit ëtre corrigëe immëdiatement, ëventuellementdans le cadre d'un correctif d'urgence. D'autres mesures de minimisation des risques doivent ëtre envisagëes jusqu'ä ce que le correctif soit en place. Moyen : Cette vulnërabilitëdoit ëtre corrigëe, mëme si eIle entraine des coüts supplëmentaires (modërës) ou d'autres inconvënients (modërës) Faible: Le correctif peut ëtre inclus dans la planification des versions sur une base rëguliëre. Par la suite, les conclusions du document < GVD7009 Recheck SocialPass SocialScan_v1.2 » sont dëcrites. 2. 8. 7. Interaction avec la plateforme (6.2.6 et 6.3.64) Actuellement, le serveur ne vërifie pas les mëtacaractëres. Le cross-site scripting (XSS) n'est souvent que le prëcurseur d'attaques plus graves. Actuellement, aucune vërification des donnëes n’a lieu avant leur exëcution par le serveur 4 Les chiffres se rëfërent aux chapitres du document [A] < GVD7009_Recheck_SocialPass_SocialScan_v1 .2 > 31/62 2.8.2. Qualitë du code et packaging (6.3.7) Comme dëcrit dans le rapport d'audit, un attaquant peut modifier I'APK (paquet Android) afin qu'il contienne une ancienne version d'une bibliothëqueexterne sans que cela soit dëtectë par la signature. Toutefois, si cette ancienne bibliothëquecontient des vulnërabiIËtës,l’APK peut ëtre installë sur un tëlëphone mobile, par exemple, sans briser la signature existante. II est ainsi possible d'exploiter les failles de sëcuritë des anciennes bibËiothëques. En outre, les versions intëgrëes des bibIËothëquestierces ont ëtë examinëes au cours de I'audit. 11a ëtë constatë que toutes les bibliothëques ne sont pas de la derniëre version. En fait, les bibliothëques tierces obsolëtes sont souvent affectëes par des failles de sëcuritë. 2.8.3. Descripteur (7.1) Le descripteurd'API utilisëpar les applicationsmobiles est accessible au public. Cela permet ä un attaquant de dëtecter toutes les mëthodes disponibles. D'aprës le rapport, le descripteur d'API n'est plus visible dans I'environnement de test UAT (User Acceptance Test), mais peut toujours ëtre consultë en production. Un attaquant peut en tirer des informations pour attaquer I'environnement UAT. Le problëmene peut donc ëtre rësolu que si 1’informationn'est pas du tout visible. 2.8.4. Mots de passe stockës en clair (7.1) Dans le cadre d’interviews, les dëveloppeurs de SocialPass ont confirmë ä Navixia SA que les mots de passe ne sont plus stockës en texte clair dans la base de donnëes. Cependant, sans accës ä cette base de donnëes, iI n'a pas ëtë possible pour Navixia de vërifier si les mots de passe sont maËntenant stockës correctement(salt & hash). Dës lors, le PFPDT part du principeque les dëclarationsfaites par les dëveloppeurs dans le rapportsont correctes et que les mots de passe ne sont plus seulement stockës en texte clair, mais qu'ilssont ëgalement sëcurisës par un Medium Salting. 2.8.5. Conservation desdonnëes (8.4.1) La section 8.4.1 mentionne un problëme de conservation des donnëes deIä une faille de sëcuritë. Selon Ie rapport d'audit, cela a ëtë rectifiëdepuis. Or, ce point ne pouvait plus ëtre vërifië par Navixia SA sans accës ä la base de donnëes. 32/62 0 2.9. Analyse de 1’audit d’lndusface Le PFPDT a regu les deux documents suivants par e-mail Ie 11 fëvrier 2021 par le reprësentant lëgal des exploitantsde SocialPass Rapports d’audit Android Mobile ApplicationAudit Report of Social Scan v1.0.pdf SHA2 56 D313DCD4B4D8 FBD2C142F7943C65DB4 FF4155F6B474C2F54 35306ADF438F26CC iOS Mobile Application Audit Report of Social Scan v1 .0. pdf SHA256 C74551665D7B2 2IAC133DBBEDC31F6EAB2 77FB151879D14237D680117B6A3BD9 Les deux rapports d'auditfournis (Indusface), se rëfërent exclusivement au composant < SocialScan >, dans les versions pour Android et iOS. Ils ne contiennent aucune information sur le composant < SocialPass » ou sur des services tiers tels que < Twilio > ou les systëmes back-end sur < Azure ». Përiodes d’essai os Version SocialScan Mt - 04. nM}20 r 0.1 MD5 b82a838aa9f430857581f02693ff26co 28. oct. - 03. nov. 2020 ios V6.2 MD5 OB81B1417BCD6A7CF8360B133632B241 Les conclusions des rapports < Android Mobile Application Audit Report of Social Scan v1.0 > et < iOS Mobile Application Audit Report of Social Scan v1.0 > diffërent en fonction des systëmes d'exploitation Android et iOS 2.9.1 . Classification La classification est basëe sur les catëgories ci-dessous Impact DescrËption A vulnerabilitywherein an attacker might have the abilityto execute commands on the server or retrieve and modify private information Security issues are defined as a risk that puts the system and / or data related to the system in immediate danger. Medium Findings indicate a more serious security matter that should be remedied appropriately within a short amount of time. Findings usually indicate a minor security risk that does not pose immediate or short-termdanger. An observational point in the site, or detection of certain applications or web servers An observational point in the site, or detection of certain applications or web servers 33/62 0 2.9.2. Rësultats en fonction des catëgories Les vulnërabilitësdëtectëes sont classëes dans les catëgories suivantes Android-App iOS-App CritËcaË fi Critica!: f1 High: 2 High: 2 Medium: 2 Medium: 1 Low: 21 Low: 18 Information: 3 Information: 1 2.9.3. Android et iOS Mobile Le tableauci-dessous reflëte les rësultats d'lndusface [B] et [C] pour le composant « SocialScan > pour les systëmes d'exploitationAndroid et iOS. Les entrëes marquëes d'un astërisque (*) sont considërëes par le PFPDT comme pertinentes pour la protection des donnëes. Mëme s'ils sont considërës comme faibles dans la cËassifËcationdes risques, ils peuvent dëvelopper une classification des risques diffërente ä la suite d'interactions. Ces entrëes relatives ä la protection des donnëes sont analysëes au chapitre 2.9.4 Le PFPDT utiliseles notationsuivantescommecritërepourattënuerle risquede violationde la protectiondes donnëes Cette vulnërabilitëreprësente un risque inacceptable. L'applicationne doit pas ëtre mise en Ëigne; si eIle 1'estdëjä, eIle doit ëtre dësactivëe immëdiatement. Cette vulnërabilitë doit ëtre corrigëe immëdiatement, ëventuellement dans le cadre d'un correctif d'urgence. D'autres mesures de minimisation des risques doivent ëtre envisagëes jusqu'ä ce que le correctif soit en place Cette vulnërabilitëdoit ëtre corrigëe, mëme si cela entraTnedes coüts supplëmentaires (modërës) ou d'autres inconvënients (modërës) La correction peut ëtre incluse dans la planification des versions ultërieures sur une base rëguliëre Tableau 3: Rësultats trouvës dans SocialScan Nr. Vulnërabilitës Catëgorie de risques Blind HTML Injection High Insecure Direct Object References High Application is Vulnerable To Email Flooding Attack Medium 34/62 0 4* Insecure Logging Of The Application (betrifft nur Android) lediu 5* Application is Vulnerable To Improper Token Management Low 6* ApplicationAccepts Special Character As User Input Low 7* Valid Account Can Be Brute Forced Low 8* Missing API Rate Limiting Low 9* Application Does Not Have A Strong Password Policy Low 10 Application is Vulnerable To Reverse Engineering Low 11* Cleartexttrafficis Set To True (betrifft nur Android) Low 12* Application is Vulnerable To Simultaneous Login Low 13* Application's Request/Response Reveals Sensitive Information Low 14* SSL Pinning Can Be Bypassed Low 15* Insecure Data Storage in File System Low 16’ Insecure Content Security Policy (Csp)/X-Frame-Options Low 17* Missing HSTS Header Low 18* InformationLeakage From Clipboard Low 19* Sensitive Data Disclosure in Recent Apps Low 20 DefaultWeb Page Found Low 21* Application Has Set Insecure Permissions Low 22 Programming Language And Version Disclosure Low 23 Application Displays Web Server Banner Low 24 Using Known Vulnerable Components Low 25 Application Works in Rooted Device Low 26 Application Runs On Older Platform Information 27 Printstacktraceo Function is Used in The Application Information 35/62 0 setAILowFileAccess Enabled 2.9.4. Conclusions de 1’auditIndusface Le sous-chapitre 2.9.4 rësume les diffërentes constatations du PFPDT comportant un risque de perte de donnëes, de corruptionde donnëes ou de dommages aux donnëes. a. Blind HTML tnjection[1]5 L'injectionHTML est utilisëe lorsque I'entrëedans une application n'est pas validëe. Cela permet de modifierle contenu d'une page web et tous les utilisateurs qui naviguent sur cette page verront le contenu modifië. Ainsi, sur la page d'enregistrement de SocialScan, un attaquant peut injecter un HTML Payload(par exemple,une chaTnede code malveillant)dans les champs de donnëes et rëussir ä I'enregistrer.L'injectionHTML est exëcutëe avec succës dans les modëles d'email. b. Insecure Direct Object References [2] Les rëfërencesdirectesä des objetsnon sëcurisëes (IDOR) constituentun problëmede sëcuritë qui se produit lorsque le dëveloppeur de I'application utilise un pointeur pour accëder directement ä un objet d'implëmentation interne, mais ne fournit pas de contröles d'accës et/ou de vërifications d'autorisation supplëmentaires. Un utilisateurde SocialScan est lië ä son numëro d'identificationd'utilisateur par I'ID de I'organisation. L'attaquant, ä son tour, se connecte ä SocialScan et peut simplement modifier I'ID de I'organisationä volontë. Cela permetä I'attaquantd'avoiraccës aux dëtaiËsde I'utilisateurcorrespondant (numëro de tëlëphone mobile et mot de passe). c. Insecure Logging Of The Application [4] Dans SocialScan, les donnëes sensibles d'un point de vue technique sont enregistrëes et peuvent conduireä des fuites d'informations.Dans SocialScan, les donnëes sensibles teIles que le nom de I'utiIËsateur et le mot de passe sont stockëes sans aucune < obfuscation >. d. Application is Vulnerable To Improper Token Management [5] Le rapport indiqueque dans SocialScan, une session reste active mëme aprës la dëconnexion. Cela signifiequ’une session peut ëtre reprise et rëutilisëe par un autre utilisateur. 5 Les chiffresentre crochets font rëfërence au tableau 3: Rësultats trouvës dans SocialScan, ci-dessus. 36/62 0 e. ApplicationAccepts Special eharacter As User Input [6] SocialScan accepte les caractëres spëciaux (>{,