Un défaut a été identifié dans un test Covid autorisé aux États-Unis, dans l'UE, au Canada, en Inde et à Singapour. Ce défaut aurait pu permettre à des individus possédant des compétences en cybersécurité de modifier les résultats du test.
Rueil-Malmaison – 21 avril 2022 : WithSecure™ (anciennement connu sous le nom de F-Secure Business), et la société de technologie de santé Cue Health, ont travaillé ensemble pour résoudre un problème de sécurité que WithSecure™ a identifié sur le kit de test COVID-19 de Cue. Ce kit permet de réaliser un test par écouvillon nasal et de transmettre ensuite les résultats à un appareil mobile via Bluetooth. Le défaut de sécurité aurait pu permettre à certains utilisateurs de modifier les résultats à partir de l'application de santé de la plateforme.
Le test COVID-19 de Cue est un test moléculaire qui offre aux utilisateurs un résultat en 20 minutes, avec une précision comparable à celle des tests PCR effectués en laboratoire. Grâce à sa rapidité, sa précision et sa facilité d'utilisation, ce test a reçu une autorisation pour une utilisation professionnelle et à domicile aux États-Unis, dans l'Union européenne, au Canada, en Inde et à Singapour*.
Mais Ken Gannon, consultant en sécurité chez WithSecure™, a identifié une méthode permettant de modifier les résultats produits par ce test.
« J'ai pu transformer mon résultat négatif en résultat positif en interceptant et en modifiant les données transmises par le lecteur de Cue vers l'application mobile de mon téléphone. J'ai fait certifier le résultat de mon test en effectuant un test surveillé dans l'application Santé de la plateforme », explique-t-il. « Le processus est fondamentalement le même pour changer un résultat positif en négatif, ce qui peut poser problème si un individu qui possède une telle expertise décide de falsifier ses résultats. »
Le test COVID-19 utilise deux équipements différents : un kit de test (qui contient une cartouche et un écouvillon pour prélever un échantillon nasal) et un lecteur d'indices. L'utilisateur insère la cartouche du kit dans le lecteur, prélève un échantillon avec l'écouvillon inclus, puis place l'écouvillon dans la cartouche. La cartouche effectue le test et envoie les données au lecteur. Le lecteur transmet ensuite le résultat par Bluetooth à l'application de santé de la plateforme (disponible pour iOS et Android) sur l'appareil mobile de l'individu.
Ken Gannon a partagé ses recherches avec Cue Health, qui a répondu rapidement, a ouvert une enquête et a rapidement procédé à des améliorations de sécurité pour empêcher la falsification des résultats de tests à venir. Cue Health n'a pas connaissance de résultats de tests falsifiés autres que ceux signalés par WithSecure™.
« La fiabilité et la sécurité de notre technologie sont de la plus haute importance pour notre entreprise et nous apprécions la collaboration de l'équipe de WithSecure. Grâce à l'aide de WithSecure, nous avons confirmé que des individus qualifiés pouvaient modifier un résultat de test et nous avons rapidement publié une mise à jour logicielle pour corriger ce problème, afin de détecter les falsifications de résultats dans l'application Cue Health », explique Vimal Subramanian, vice-président de la sécurité de l'information et de la confidentialité chez Cue Health.
Ken Gannon, qui a décelé un défaut similaire sur un test COVID-19 provenant d'un autre fournisseur en décembre dernier*, précise qu’il existe sans doute d’autres tests présentant des défauts de sécurité similaires.
Des tests COVID-19 négatifs sont nécessaires dans de nombreux contextes, comme les voyages internationaux aux États-Unis. Le risque de fraude est réel. Au début de l’année, deux infirmières de New York ont été accusées d'une fraude s'élevant à 1,5 million de dollars pour de faux certificats de vaccination COVID-19**.
« Je me suis penché sur ces tests COVID par curiosité professionnelle. Le type de défaut identifié est très répandu. On le retrouve sur de nombreux autres appareils qui utilisent des processeurs pour effectuer des tâches spécifiques, comme les objets connectés. Il est donc essentiel que les fournisseurs élaborent des méthodes permettant de détecter et de résoudre les défauts de sécurité, avant qu’ils ne provoquent des problèmes. Je suis heureux d'avoir pu collaborer avec Cue Health pour renforcer l'intégrité de leur test », ajoute Ken Gannon.
« Nous avons apprécié que Ken ait contacté notre équipe au sujet de ses recherches. Signaler ce genre de problèmes directement aux fournisseurs contribue à rendre les produits plus sûrs et plus fiables, et c'est exactement ce que nous avons fait ici », conclut Vimal Subramanian.
Pour plus d'informations sur les recherches de Ken Gannon, rendez-vous à l'adresse suivante : https://www.withsecure.com/en/expertise/research-and-innovation/research/faking-another-positive-covid-test.
*Source : https://labs.f-secure.com/blog/faking-a-positive-covid-test
**Source : https://www.insider.com/long-island-nurses-arrested-millions-fake-covid-vaccine-card-scheme-2022-1
À propos de WithSecure™
WithSecure™ est le partenaire européen de référence en matière de cybersécurité depuis plus de 30 ans. Nous accompagnons les fournisseurs de services informatiques, les MSSP et des multinationales, qui nous font confiance, à travers des modèles commerciaux flexibles et adaptés au marché. Nous leur fournissons une cybersécurité axée sur les résultats, pour les protéger en toutes circonstances et garantir le bon fonctionnement de leurs activités. Notre protection basée sur l'IA sécurise les endpoints et protège les environnements cloud. Nos outils intelligents de détection et de réponse sont pilotés par des experts qui identifient les risques, assurent une recherche proactive des menaces et neutralisent les attaques en temps réel. Un service de consulting expert est également disponible pour les entreprises qui souhaitent renforcer leur résilience.
WithSecure™, anciennement F-Secure Corporation, a été fondée en 1988 et est cotée au NASDAQ OMX Helsinki Ltd.
À propos de Cue Health
Cue Health (Nasdaq : HLTH) est une société spécialisée dans les technologies de la santé. Elle facilite l'accès des patients à leurs dossiers médicaux et place les informations diagnostiques au centre du processus de soins. Cue Health permet aux patients de gérer leur santé grâce à des informations connectées, en temps réel. L'objectif de Cue Health est d'offrir aux individus et aux professionnels de santé un accès facile à des diagnostics de qualité, partout et à tout moment, via leur téléphone mobile. Le test COVID-19 de Cue Health, le premier du genre, a été le premier test de diagnostic moléculaire autorisé par la FDA pour une utilisation à domicile et en vente libre, sans ordonnance ni supervision d'un médecin. En dehors des États-Unis, Cue Health a reçu la marque CE dans l'Union européenne, une autorisation provisoire de Santé Canada, l'approbation réglementaire de la Central Drugs Standard Control Organization en Inde et l'autorisation PSAR de la Health Sciences Authority de Singapour. Cue a été fondée en 2010 et son siège social est situé à San Diego. Pour plus d'informations, rendez-vous sur : www.cuehealth.com.
Énoncés prospectifs
Les déclarations relatives aux attentes, plans et perspectives d'avenir contenues dans ce communiqué, ainsi que toute autre déclaration portant sur des sujets qui ne sont pas des faits historiques, peuvent constituer des "énoncés prospectifs". Les mots, sans s'y limiter, "anticiper", "croire", "continuer", "pourrait", "estimer", "s'attendre", "avoir l'intention", "pouvoir", "planifier", "potentiel", "prédire", "projeter", "devrait", "cible", "sera" et d'autres expressions similaires sont destinés à identifier des énoncés prospectifs, même si tous les énoncés prospectifs ne contiennent pas ces mots ou des mots d'identification similaires. Les résultats réels peuvent différer sensiblement de ceux indiqués par ces énoncés prospectifs en raison de divers facteurs déterminants, notamment les futures modalités de tests de diagnostic et les facteurs abordés dans la section " Facteurs de risque " du formulaire 10-Q daté du 10 novembre 2021 déposé par Cue auprès de la SEC. Tous les énoncés prospectifs contenus dans ce communiqué de presse sont basées sur les attentes actuelles de l'équipe de direction de Cue et ne sont valables qu'à la date du présent document. Cue décline expressément toute obligation de mettre à jour ces énoncés prospectifs, que ce soit à la suite de nouvelles informations, d'événements futurs ou d’autres éléments.
Ces produits n'ont pas été homologués ou approuvés par la FDA : ils ont été autorisés par la FDA dans le cadre d'une autorisation d'utilisation d'urgence (EUA). Ces produits ont été autorisés uniquement pour la détection de l'acide nucléique du SRAS-CoV-2, et non pour d'autres virus ou agents pathogènes. L'utilisation d'urgence de ces produits n'est autorisée que pour la durée pour laquelle il existe des circonstances justifiant l'autorisation d'une utilisation d'urgence de diagnostics in vitro pour la détection et/ou le diagnostic du COVID-19 en vertu de la section 564(b)(1) de la loi fédérale sur les aliments, les médicaments et les cosmétiques, 21 U.S.C. § 360bbb-3(b)(1), à moins que la déclaration ne prenne fin ou que l'autorisation ne soit révoquée plus tôt.
Relations médias WithSecure™
Françoise Amon KOUTOUA / 06 43 62 98 12
L’Agence RP
Justine Boiramier - justine@lagencerp.com - 06 50 31 86 24
Camille Bernisson – camille@lagencerp.com
Mélina Dahmane – melina@lagencerp.com
Cue Health
press@cuehealth.com
À propos de WithSecure™
WithSecure™ est le partenaire européen de référence en matière de cybersécurité depuis plus de 30 ans. Nous accompagnons les fournisseurs de services informatiques, les MSSP et des multinationales, qui nous font confiance, à travers des modèles commerciaux flexibles et adaptés au marché. Nous leur fournissons une cybersécurité axée sur les résultats, pour les protéger en toutes circonstances et garantir le bon fonctionnement de leurs activités. Notre protection basée sur l'IA sécurise les endpoints et protège les environnements cloud. Nos outils intelligents de détection et de réponse sont pilotés par des experts qui identifient les risques, assurent une recherche proactive des menaces et neutralisent les attaques en temps réel. Un service de consulting expert est également disponible pour les entreprises qui souhaitent renforcer leur résilience.
WithSecure™, anciennement F-Secure Corporation, a été fondée en 1988 et est cotée au NASDAQ OMX Helsinki Ltd.