Attestation numérique : des problèmes de conception… et de matériel sur le terrain
Depuis quelques heures, le ministère de l’Intérieur propose son propre générateur d’attestation de déplacement dérogatoire. D’abord favorable aux générateurs d’attestation, le gouvernement les avait finalement interdits, craignant la fuite de données personnelles. Ainsi, l’attestation numérique officielle n’est qu’un simple PDF… qui révèle de nombreux problèmes.

Commençons toutefois par les bonnes nouvelles : comme il l’avait promis, le ministère de l’Intérieur ne collecte pas les données saisies pour remplir l’attestation, comme nous avons pu le vérifier à l’aide d’un proxy. L’attestation est générée dans le navigateur, sans communication avec un serveur distant. Les forces de l’ordre vérifieront l’attestation à l’aide de l’application CovidReader installée sur leur terminal Neo (lire : Info iGen : voici l’app utilisée par les policiers pour vérifier les attestations numériques).
Éric Freyssinet, le chef de la mission numérique de la gendarmerie nationale, explique que cette application ne possède « pas de fonction de sauvegarde ou de transfert » des données, mais se contente d’afficher les données contenues dans le code QR de l’attestation numérique1. Vous pouvez d’ailleurs vérifier vous-même ce code, qui encode votre état civil, ainsi que le motif et l’heure de votre sortie. Mais cette version numérique ne résout pas les problèmes fondamentaux de la conception de l’attestation.
Elle vous propose ainsi de choisir « un motif de sortie », mais vous laisse en sélectionner plusieurs, puisqu’elle utilise des cases à cocher plutôt que des boutons radio. Et pour cause ! L’administration recommande toujours « de grouper vos sorties » et donc « d’indiquer plusieurs motifs sur une même attestation. » Le code du générateur prévoit explicitement cette possibilité, le code QR peut contenir plusieurs motifs, mais certains policiers et gendarmes refusent toujours les attestations à plusieurs coches.

Pire : le formulaire du générateur n’est pas complètement accessible aux personnes porteuses de handicaps. Les menus de sélection de la date et de l’heure ne sont pas accessibles au clavier, et peuvent cacher le champ qu’ils aident à remplir, et les liens manquent de contraste. Le formulaire ignore ainsi des recommandations importantes du RGAA, le référentiel général d’accessibilité que les administrations sont censées respecter. Ce ne serait qu’un détail si cela n’empêchait certaines personnes de sortir de chez elles, au moins sans crainte d’être verbalisées2.
De manière générale, le formulaire témoigne d’un manque flagrant de prise en compte des spécificités du support web. Passe encore qu’il ne fonctionne pas sans JavaScript. Il est plus gênant qu’il ne fonctionne pas dans quelques vieux navigateurs, encore utilisés par quelques centaines de milliers de Français, et surtout dans le navigateur intégré à Facebook, où le lien circulait déjà beaucoup ce matin.
Plutôt que d’utiliser les fonctionnalités intégrées à certains navigateurs, la Direction du numérique du ministère de l’Intérieur a préféré une approche plus « artisanale » pour créer l’attestation [MàJ 20h00 : dérivée d’un projet open source créé par un développeur lyonnais]. À partir d’un modèle vide, un script remplit l’attestation… comme vous le feriez à la main ! Ainsi, il dessine un « x », aux coordonnées précises des cases, pour cocher les motifs de sortie. C’est un peu cavalier, mais dans ces conditions d’urgence, c’est plutôt malin.
Mais cela provoque quelques situations floues, comme lorsque les noms à rallonge de certains villages français sont rejetés… mais que l’attestation est quand même générée. Surtout, les développeurs du ministère ont oublié d’ajouter tout mécanisme de validation des données. Vous pouvez ainsi demander une attestation pour une personne née le 32 du quatorzième mois de l’année 2124, qui réside à Paris dans la Nièvre, et voudrait sortir le 1er avril de l’an de grâce 1024.
Bref, nous restons face à un problème fondamental de fabrique des services publics. Alors que l’on prône la relocalisation en usant et abusant de métaphores guerrières, le ministère recourt aux services d’un prestataire américain pour la protection anti-DDoS du service. Et alors que cette attestation numérique devait clarifier les choses, elle risque de créer quelques flottements.

Un policier en poste dans un commissariat francilien pointe du doigt le manque d’équipement adapté au traitement des attestations numériques. Les tablettes Neo, basées sur des tablettes Sony Xperia Z4, sont « lentes » et « pas forcément très pratiques ». Les téléphones Neo, basés sur des téléphones Sony Xperia X, sont « bien plus pratiques » et plus appréciés, mais sont distribués progressivement. « La police secours qui gère les patrouilles » communes, disponible le jour comme la nuit, « n’a pas encore de téléphones Neo ».
Comme la tablette n’est pas toujours très fiable, les policiers se plaignant souvent de dysfonctionnements du lecteur de carte professionnelle et de problèmes d’autonomie, « c’est soit le téléphone perso (comme bien souvent malheureusement), soit on ne peut pas vérifier. » Encore hier soir, les consignes n’étaient pas passées, ce qui signifie que les patrouilles matutinales ont découvert l’attestation numérique en même temps que vous. Le problème de l’attestation numérique n’est pas seulement un problème de code.
image d'accroche : Juanedc (CC BY)
-
Ce qui provoque l’ire de l’Association professionnelle nationale militaire gendarmes et citoyens, qui aurait préféré une application tout-en-un permettant de vérifier l’identité de la personne contrôlée et éventuellement de la verbaliser, pour réduire la durée des contrôles (et de l’exposition des gendarmes aux éventuels malades). Bien sûr, le système garde trace des amendes, et peut donc établir une éventuelle récidive. ↩
-
Après deux semaines de confinement, le gouvernement a finalement permis aux personnes aveugles et malvoyantes de sortir sans attestation, à condition de présenter une carte ou un justificatif d’invalidité. Ce qui ne résout pas les problèmes rencontrés par les personnes qui voient très mal, mais pas encore assez pour rentrer dans la définition de la malvoyance. ↩
@jcp25
Moi jevais remplir mon papier pour le retour du bureau ^^
@jcp25
Apparemment on peut utiliser des noisettes, fait se renseigner sur les noix aussi, qui sait?
@raoolito
Oui si tu n’as plus de noisettes
@jcp25
4€/kg !
Purée c’est cher la.
Pour ceux qui connaissent y’a des magasins au détails (genre daybyday) c’est moins cher.
Et dépends si vous les prenez caramélisée,nature, de provenance us ou fr etc.. une vraie mission. XD
@jcp25
Et bien évidement, le gouvernement va mettre 3 semaines pour nous proposer des bons équivalents-amande à télécharger sur son smartphone pendant lesquels ont va être obligé de se trimballer les 45 kilos à chaque sortie !
Et ces bras-cassés sont bien capables de se tromper et de nous coller des noisettes virtuelles à la place qui n'ont pas du tout la même valeur que les amandes et ne seront valables que face à des policiers équipés du système d'équivalence amande/noisette en cours de déploiement !
Bref, un scandale de plus !
@Phiphi
J’allais le dire la majorite ne sauvegarderons
Contrôlé cet après-midi, les policiers n’étaient pas équipés pour vérifier l’attestation numérique. Ils ont juste regardé le nom sur le PDF et contrôlé ma carte d’identité.
Moi c'est le coup du prestataire américain qui me scie ! Cette attestation n'est franchement pas compliqué à faire. Comme si il n'avait pas de développeurs en France dans les services technique de l'administration ou les entreprises, capable de faire une application web aussi simple en moins d'une journée.
Par exemple, cela aurais pu faire une pub d'enfer à une des startups hébergée dans l'incubateur de Xavier Niel (ou similaire) !
@Anthony
«le générateur lui-même a été développé par les services du ministère. Le presta, c'est pour la protection anti-DDoS. »
D’accord, tu devrais le préciser dans l’article. Et expliquer très sommairement ce qu’est une protection anti-DDos (tu le sais, je le sais, mais pas forcément tous les lecteurs). Et pourquoi cela nécessite de faire appel à un prestataire.
Ceci dis, des boites françaises comme OVH ou Gandi sont censés avoir toute la technologie pour se protéger contre les attaques par déni de services et autres joyeusetés !!
Cela me rappelle l’histoire du site « produisons français » de Arnault Montebourg, hébergé en .. Hollande !!
@Anthony
La protection anti DDoS en France ? Non , on ne sais pas faire ?
Vu le peu de contrôles dans ma ville, je me demande si ces attestations servent à quelque chose. Tout le monde est censé être chez soi, mais aucun policier dans les rues pour enforcer les restrictions.
@
J’allais le dire!!
Encore faut-il croiser la gendarmerie...
Ici on les voit encore moins qu’à l’habitude! À croire qu’ils se calfeutrent dans leurs locaux...
Contrôlé il y a 20 minutes et ça n’a pas fonctionné, le policier m’a laissé passer du coup, il avait l’air agacé par son matériel
Je propose à tout ceux qui sont des génies ici du numérique de proposer leurs services à l’état...
La critique est facile mais l’art est difficile comme dirait l’autre!
Hey ho c'est pas nous qui avons construit toute une image fantaisiste sur la startup nation et autres concepts bidons du même genre hein....
@pagaupa
"Je propose à tout ceux qui sont des génies ici du numérique de proposer leurs services à l’état..."
Encore faudrait-il que l’État soit réceptif, ouvert, transparent et participatif.
Qu’il ait une culture du feedback collaboratif, des boucles auto-correctives, de la critique constructive mutuelle.
Qu’il sache intégrer et mettre à profit l’intelligence d’essaim.
Qu’il devienne véritablement une res publica.
@pagaupa
Déjà fait.
Je reconnais que la pratique est difficile.
Ça dépends du matos fourni aussi.
Des consignes et du supérieur à qui on fait remarquer une erreur, ou une possibilité d’amélioration, des suggestions pour rendre la chose plus solide . Et on s’heure à la réponse :
- fait un rapport écrit (c’est top) . J’ai été appelé y’a 3 semaines pour un rapport mais le système était déjà en place depuis .. Rapport envoyé y’a 3 mois.. (mi décembre ).
- fait rien, t’as des consignes, tu les appliques.
- du coup je me demande :
Que produit-on en France ?
Et avec quoi ?
@pagaupa
Un contrôle de date c’est pas dur.
Ou t’es pas du tout du tout du milieu.
Pourquoi FB pour le lien de l’attestation ? Ça suffit les datas pour enrichir FB. Accès direct sur .gouv
@bbibas
Précises stp ?
Cet article est intéressant mais témoigne tout de même d’un certain parti pris. Tout comme le précédent d’ailleurs, sur les défauts de l’attestation papier du même auteur.
Ceux qui s’en plaignent peuvent toujours utiliser le bon vieux papier et crayon et aller pester ailleurs 🙄
je pense que je vais continuer un peu avec l'attestation papier si vous le voulez bien :)
Ça va marcher ... pour la prochaine épidémie !
Pas encore vu un gendarme ou policier, mais sorti que deux fois depuis le début.
Et fait moins de 5 km AR. Avec qd même quatre ronds-points où il paraît qu'ils aiment se tenir (plus facile).
L'important c'est de faciliter le formulaire et c'est pour ceux qui en ont marre de réécrire... C'est bien sûr temporaire et hop fini post confinement.
De l’amateurisme, comme tout la gestion de cette « crise » 😂
@Anthony
Pour info :
https://twitter.com/fortysevenfx/status/1247053825887875073?s=21
@Anthony
Ah non mais la loi ne s’applique pas à ceux qui l’écrivent, c’est habituel. Pourquoi pas respecter code du travail dans l’administration aussi tant qu’on y est !!
@Anthony
Ah tiens. Il n’y a que trois navigateurs en France à la connaissance du ministère de l’intérieur. 🥺
@Phiphi
Oui enfin si on en met une liste de 25 ça va ps être lisible on va perdre du monde et c’est ps plus utile, c’est pas ce que tu vas citer les nav a 1% d’utilisations vont monter en flèche.
Fonctions simples ou intégration ou pub.
C’est tout ce qui marche.
https://media3.giphy.com/media/xvwOlfApfZsFW/giphy.gif?cid=4d1e4f2933bc3...
Mise à part la lenteur qu’ils ont pris pour pondre une appli incomplète, ne vois rien de choquant dans les reproches formulés dans cet article.
S’ils font ça par itération, il faut savoir prioriser.
Le contrôle de cohérence de la date, franchement on s’en tamponne. La compatibilité handicap, souhaitons là prévue dans la prochaine révision. Etc, etc.
Ce sont les mêmes qui ont décidés de faire concevoir l’application après les attentats qui a coûté une blinde alors qu’il suffisait de se servir du système de sms. Vraiment des branquignols
Bonjour, je trouve ce raccourci très bien, mais j’ai un message qui m’informe que le jeton a expiré, et tout s’arrête .... merci de me dépanner.
Vu de suisse vos « attestations de sortie » sont hallucinantes. Je ne comprends pas l’intérêt à part mettre en place une usine à gaz bureaucratique et technique, à partir du moment que vous pouvez générer autant d’attestation que vous le souhaitez.
Quelqu’un a parlé ici d’engagement citoyen. Un engagement forcé oui, rien de citoyen la dedans. L’engagements citoyen est une décision individuelle et le gouvernement doit aider le peuple à aller dans ce sens par son soutien et ses conseils, pas le fliquer par défaut. Je dirais même que la prévention dans la rue par les forces de l’ordre doit prévaloir plutôt que l’amende systématique, c’est beaucoup plus constructif.
Ici nous pouvons sortir librement tant que nous respectons les dispositions prises par le gouvernement. Soit pas de groupes de plus de 5 personnes en se tenant à 2 mètres de distance. Le gouvernement invite les gens au bon sens et à éviter les sorties inutiles et dans l’ensemble ça marche 🤷♂️
Bref, je trouve ça flippant.
@Deroxil
Oui c’est flippant. C’est peut-être même encore plus flippant quand on est concerné parce qu’on est de toute évidence jamais à l’abri de tomber sur un naze qui a décidé de se défouler à la première occasion et sous n’importe quel prétexte. Et dans ce cas si tu t’en tires à 135€ tu as peut-être même de la chance, la bavure ne pouvant jamais être exclue.
@Deroxil
Dans l’ensemble vu de chez vous confiné cela marche, et en particulier est ce que cela fonctionne ?
En tout cas, le plus sympa dans cet article, reste la découverte du mot « matutinal »... 😉
Merci MacG pour cette petite touche de culture 👍
« Vous pouvez ainsi demander une attestation pour une personne née le 32 du quatorzième mois de l’année 2124, qui réside à Paris dans la Nièvre, et voudrait sortir le 1er avril de l’an de grâce 1024. »
Question bête mais pour vérifier ça, il ne faudrait pas qu’il y ait une vérification côté serveur ? Du coup ça irait à l’encontre de l’idée qu’ils ne veulent pas enregistrer les données non ?
@BananaYatta : pour la cohérence du code postal, ça ferait un petit paquet de données à charger dans le navigateur, mais ce ne serait pas particulièrement compliqué de le faire entièrement en local. Mais à la limite, ce n'est pas crucial. Pour la cohérence des dates, qui est tout de même beaucoup plus importante dans un système qui repose sur le respect de certaines contraintes temporelles, c'est de la validation assez classique de formulaires, le site utilise déjà suffisamment de JavaScript pour ajouter la vingtaine de lignes nécessaires. Dans les points que je soulève, rien n'est vraiment difficile à régler, c'est vraiment une question d’intégration/de prise en compte des problématiques d’accessibilité et de validation des données/de processus.
Le bug, dans la police, se situe toujours entre la matraque et le képi.
Pages