Le pass sanitaire soulève des craintes en matière de confidentialité 🆕

Félix Cattafesta |

Instauré officiellement demain, le dispositif de pass sanitaire fait débat. La gestion des données des utilisateurs est mise en cause.

Le mercredi 9 juin marquera une nouvelle étape dans le retour à la vie pré-COVID : le couvre-feu sera décalé à 23 h tandis que les bars, cafés et restaurants rouvriront partiellement. Ce jour va aussi marquer l'apparition du pass sanitaire, un dispositif mis en place « de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination ».

Ce pass sanitaire sera obligatoire dans certaines situations, comme les événements rassemblant plus de 1 000 personnes. Il ne faut pas le confondre avec le QR code à scanner à l'entrée des bars et restaurants pour le traçage des contacts.

Le Carnet de tests dans l'app TousAntiCovid, où figurent les attestations de vaccination et les résultats de tests

Ce pass sanitaire va être intégré dans l'application TousAntiCovid, qui inclut désormais un carnet de tests et de vaccinations afin de montrer patte blanche à l'entrée de certains événements. Christian Quest, data scientist et porte-parole d'OpenStreetMap, s'est inquiété de problèmes de confidentialité liés à ce dispositif :

Cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses.

Pour comprendre pourquoi, il faut s'intéresser aux QR codes distribués après la vaccination. D'après le gouvernement, ces codes contiennent uniquement des données relatives au vaccin ainsi que le nom, prénom et la date de naissance de la personne. Le site Broken by Design explique que ceux-ci permettent en fait de déduire d'autres informations : le détenteur a-t-il eu besoin de plusieurs doses ? Fait-il partie des citoyens prioritaires pour la vaccination ? Ces informations sont disponibles en clair : elles ne sont pas chiffrées et donc accessibles à n'importe quelle personne équipée d'un lecteur basique de QR code.

Le problème principal vient de là : comment garder ses données protégées si n'importe qui peut les lire avec une app commune ? En entrant le code dans l'application TousAntiCovid, celle-ci pourrait donc accéder à toutes les données, tout comme les autres applications qui le scanneront. Notez cependant qu'il est possible de présenter son pass sanitaire sous la forme d'un PDF ou au format papier, l'intégration à TousAntiCovid n'est pas obligatoire.

Le gouvernement a tenté de répondre à ce problème grâce à TousAntiCovid Verif, une application pour le personnel chargé de vérifier les entrées. Le système a été annoncé comme sécurisé : si quelqu'un scanne votre QR code à l'entrée d'un concert de plus de 1 000 personnes par exemple, il ne reçoit qu'une information limitée (peut entrer/ ne peut pas entrer). Une version spécifique du logiciel de vérification a été annoncée pour les structures ayant besoin de plus de données (par exemple les compagnies aériennes).

Premier souci : cette application est disponible sur l'App Store et téléchargeable sans aucune vérification. Au lancement de l'app, un pop-up vous rappelle que cette application est réservée aux personnes habilitées, et l'accès à l'application se base sur une simple déclaration sur l'honneur. Impossible donc de savoir si ce sont les bonnes personnes qui s'en servent.

Deuxième souci : cette application se contente en fait de cacher certaines données du QR code. On l'a vu, d'autres applications basiques peuvent extraire plus de données du même document car rien n'est chiffré. À partir de là, une version spécifique pour les compagnies aériennes n'aurait pas de sens : les données les plus sensibles sont déjà récupérables avec d'autres applications grand public.

Le code source de l'application TousAntiCovid Verif n'est pour le moment pas disponible en ligne, contrairement à celui de TousAntiCovid qui est open source. L'internaute gilbsgilbs s'est intéressé de plus près au fonctionnement de cette application. Il relève que le code de l'application embarque des composants propriétaires de Google (Firebase et certains services de Google Play), ce qui avait déjà créé une polémique récemment.

De plus, les informations scannées sont envoyées sur un serveur de l'Imprimerie nationale (détenue à 100 % par l'État), qui développe l'application. Pourquoi cet envoi si les données sont disponibles directement depuis le QR code ? Cela soulève évidemment plusieurs questions, par exemple si le pass est scanné dans le cas d'une manifestation ou d'un évènement « sensible » : techniquement, l'État pourrait récupérer une liste des participants. Ce passage par les serveurs d'IN Groupe pourrait aussi provoquer des difficultés techniques lors des évènements où la connexion est lente ou saturée.

La version iOS de TousAntiCovid Verif ne bloque pour le moment pas les captures d'écran

Enfin, l'application TousAntiCovid Verif est censée bloquer les captures d'écran. Un système pas encore au point sur iOS : dans la dernière version de l'application, un message d'alerte s'affiche après que la capture d'écran a été prise…

Une conférence de presse avec Cédric O sur le thème du pass sanitaire aura lieu cet après-midi à 16 h. Nous mettrons à jour l'article en fonction des déclarations du gouvernement.


Mise à jour du 8 juin à 16h35 : à l'occasion de la conférence de presse de cet après-midi, un porte-parole a expliqué que TousAntiCovid Vérif avait en effet été développé avec des calculs sur serveurs. Cela ne devrait bientôt plus être le cas : une mise à jour permettra de tout faire en local « dans les prochains jours ». Plusieurs développeurs ont déjà prouvé qu'il était possible de créer une alternative à TousAntiCovid Vérif entièrement hors ligne, en version web ou Android.

Une version open source de cette application est aussi prévue, et les développeurs travaillent actuellement à une version du code publiable sans en affaiblir les sécurités. Le code utilisait bien des composants de Google à but expérimental. Ceux-ci vont apparemment être supprimés dans une mise à jour des versions iOS et Android dès aujourd'hui.


avatar CorbeilleNews | 

Vacciné ou pas, hors de question d’utiliser ce genre de dispositif !!!

Je resterai chez moi pour aider la reprise de l’écologie

avatar ataredg | 

@CorbeilleNews : Bizarre comme raisonnement. Vivre en société implique aussi des devoirs. Pas seulement des droits (moi je ...). Tu pourras utiliser le papier. Et dans ce cas précis, l'application ne dévoile pas non la taille de ta ... bref, tout ça va être corrigé (merci le débat et le travail des experts en sécurité) et nous pourrons tous essayer de reprendre une vie en communauté en essayant de se protéger les uns et les autres. Parce que le but de toute cette histoire, c'est ça. La santé des gens qu'on aime (et de ceux qu'on déteste).

avatar Sonic Tooth | 

@ataredg

Si je comprends bien, jusqu’en 2019 tu t’en tamponnais le coquillard de la santé des autres, il t’a fallu une maladie à la mode (décrétée comme telle par d’autres) pour y penser ?
Et puis l’hypocrisie, il est temps d’appeler un chat un chat : « se protéger les uns et les autres », comprendre « se protéger les uns DES autres ». Marre de la suspicion généralisée, nous ne sommes pas des déchets nucléaires ! Il faut savoir se tenir à distance non de ceux qu’on aime mais de la propagande et ses chiffres bidonnés depuis le début pour propager la peur et faire oublier les vrais sujets. D’ailleurs, comme par hasard quelques jours avant le premier confinement il y avait une manif des gilets jaunes.

avatar frankm | 

@Sonic Tooth

La Covid, c’est du pain béni pour les gouvernements. Et tu peux compter sur le fait qu’ils ont bien compris ça

avatar CorbeilleNews | 

@ataredg

Il y a des gens qui vivent depuis des années en ne pouvant pas sortir faute de ronds alors que d’autres sont sur les starting-blocks pour consommer... et on les a privé pendant 12 mois alors que les plus démunis vivent tout le long de l’année comme cela, décennie après décennie et l’on pleure car on voudrait reprendre un semblant de vie normale.

Une vie soit disant ou l’on fait attention aux autres ... mon oeil oui pour être poli...

avatar frankm | 

@CorbeilleNews

J’aime bien la formule : « reprise de l’écologie »

avatar CorbeilleNews | 

@frankm

😀

avatar reborn | 

Donc en fait un lecteur de code 2d doc classiques permet de lire toutes les infos ?

avatar marc-5 | 

@reborn

Oui.
Tu vas avoir des « lignes » qui sont suivies à chaque fois d’une info, 1ère ou 2e injection, nombre nécessaire, vaccin utilisé, date d’injection…
En isolant chacun des éléments, c’est très facile de s’y retrouver.
S’il y a une chose de cryptée, c’est la clé de vérification numérique qui est générée par rapport aux données. Celle-ci est impossible à trouver en l’état (rendant la falsification compliquée).

avatar r e m y | 

Tout comme vos yeux... les infos du QRCode sont écrites en clair juste en-dessous.

avatar reborn | 

@r e m y

Oui donc ça sert à rien, il faut un second 2d doc avec moins d’infos

avatar bibi81 | 

Oui donc ca sert a rien, il faut un second 2d doc avec moins d'infos

Oui mais il y a des cas où ces informations sont utiles (pour aller dans un pays qui exige la vaccination par exemple).

avatar Sillage | 

@reborn

Si j’ai compris juste se retrouve dans le Datamatrix un élément qui certes peut être lu mais pas vérifié pour l’authenticité (pas de falsification).

Il faudra donc une application dédiée 2D-DOC qui lira le Datamatrix afin de vérifier si c’est authentique ou pas.

avatar Sillage | 

@r e m y

Le 2D-DOC n’est pas un type de code 2D, c’est un système contre la falsification intégré dans un code 2D.

Là, il s’agit du Datamatrix, et pas du QR Code, Quo sont des codes à la structure différente.

Ca me fait rire aussi quand je lis sur une page officielle du gouvernement au sujet du 2D-DOC qu’ils parlent de « code barre 2D ». Chères personnes du gouvernement, un code barre, c’est du 1D. 😂🤦‍♂️

avatar bibi81 | 

Cheres personnes du gouvernement, un code barre, c'est du 1D. ???

Non 2D, la couleur noir/blanc et aussi l'épaisseur soit donc bien 2 dimensions ;)

avatar Totoche31 | 

Améliorations à prévoir donc…

Après est ce qu’on en fait pas un peu trop sur ce sujet dans un monde complètement digitalisé ?

Certes ce n’est pas une raison pour laisser faire en l’état et c’est bien de lever l’alerte pour corriger le tir.

Par contre est ce que quelqu’un s’interroge sur les données des GAFA, réseaux sociaux, cartes de fidélité, des caméras vidéos surveillance, tous les formulaires que l’on rempli à droite à gauche etc etc. ?

J’ai l’impression que l’on se focalise sur un point alors que ça fuit de partout dans l’indifférence générale 🤨

avatar J'en_crois Pas_mes yeux | 

@Totoche31 "est ce que quelqu'un s'interroge"
Tu poses une bonne question et donc je te réponds.
La plus part d'entre nous sommes multitâches.
Les personnes soucieuses de leurs datas le sont en majorité tout autant vis à vis des pouvoirs étatiques que des multinationales.
Donc oui protégeons nous des excès inquisitoires des gouvernements & des multinationales.
Mais toi @Totoche31, as-tu une préférence ou réprouves-tu les 2 types de surveillances ?

avatar r e m y | 

Nous protéger des excès inquisitoires des gouvernements ... 🤔
Euh, au cas où ça vous aurait échappé, toutes les infos contenues dans ce QRCode sont déjà connues des autorités sanitaires.

avatar J'en_crois Pas_mes yeux | 

@r e m y |
Je répondais à Totoche sur une question générale qu'il posait et en aucun cas au cas particulier de cette information. (je ne vois pas de problème évident dans ce cas précis :-)!)Je disais que les personnes ayant un souci de vigilance vis à vis des datas privées n'opposent pas surveillance étatique et surveillance des multinationale.

avatar Derw | 

@J'en_crois Pas_mes yeux

Je ne vois pas trop où vous voulez en venir… bien sûr que si qu’il y a des gens qui ont peur d’être « espionnés » par les sociétés et pas par l’État et vice-versa…

avatar BLM | 

@r e m y
«toutes les infos contenues dans ce QRCode sont déjà connues des autorités sanitaires.»
Oui… mais pas de mon cafetier. qui demain pourra les lire.

avatar Sindanárië | 

« l'application TousAntiCovid Verif est censée bloquer les captures d'écran. Un système pas encore au point sur iOS : dans la dernière version de l'application, un message d'alerte s'affiche après que la capture d'écran a été prise… »

La blague ! il n’y a pas que les décideurs de ce système qui sont responsables… l’app est en plus développé par des newbies et des guignols 🙄🤣😂😅

avatar redchou | 

@Sindanárië

Qu’est-ce qu’il vous dit que c’est n’est pas à cause des APIs disponible?

avatar Sindanárië | 

@redchou

Ben permet moi d’en douter. Parce que sur les apps comme ATV+ et molotov par exemple, la capture écran ne fonctionne pas, au pire tu as une image avec rien ou du noir.
Donc la fonctionnalité existe, est disponible, et est opérationnelle. 🤔😉

avatar redchou | 

@Sindanárië

Dans ATV+ ou Molotov, c’est différent, cette fonctionnalité est intégré dans iOS directement.
Ça s’appelle FairPlay, ça empêche toute capture de contenu protégé.
L’autre solution, observer la propriété UIScreen.main.isCaptured permet juste de réagir dans le cas d’un enregistrement vidéo de l’écran, dans le cas d’un screenshot, on peut réagir…mais trop tard, comme c’est le cas ici.
Il faut croire que c’est toi le newbie/guignol… 🤷‍♂️

avatar morpheusz63 | 

@Sindanárië

Ça s'appelle coupable mais pas responsable çà la marque de fabrique des branquignole gère ei pauvre pays

avatar ancampolo | 

@Sindanárië

Oh non respecte cedric o et son petit conflit d’intérêt a plusieurs millions d’euros d’argent public…ils ont bossé comme des fous dessus…

avatar Sindanárië | 

@ancampolo

Mais t’es pire que moi 😂

avatar jcp25 | 

@Sindanárië

La blague ! il n’y a pas que les décideurs de ce système qui sont responsables… l’app est en plus développé par des newbies et des guignols
--
OH oui !
Dire que l'on ne peut pas faire une copie d'écran une fois qu'elle est faite... C'est carrément des branquignols !
Quand à faire une photo de l'ecran... On bloque comment ?
🤪🤪🤪🤪

avatar Alex56 | 

Rien à cirer de cette app, j'ai le papier de vaccination avec le QRCode, ça suffit.

avatar marc-5 | 

@Alex56

Le problème n’est pas l’application qui peut héberger le QR code mais l’application qui le lit, ainsi que le QR code lui-même.

avatar r e m y | 

Le QRCode est le même, qu'il soit sur papier ou dans l'app ! Ça change quoi de ne pas le saisir dans l'app?

avatar roccoyop | 

@r e m y

Il faut déjà avoir installé l’app. 🥸

avatar bibi81 | 

Le QRCode est le meme, qu'il soit sur papier ou dans l'app !

Non, il est différent.

avatar r e m y | 

Non c'est exactement le meme

avatar bibi81 | 

Non c'est exactement le meme

Pas chez moi, tu as bien vérifié ? En tout ça me fait trois QRCode, les deux sur le papier et le troisième dans TousAntiCovid.

avatar r e m y | 

Sur le papier il y a 2 QRCode
- celui de gauche qui correspond au certificat de vaccination
- celui de droite qui sert uniquement à intégrer le 1er dans l'app TousAntiCovid

Dans Tous AntiCovid, on retrouve le même QRCode que celui qui est à gauche sur le papier.

avatar bibi81 | 

Dans Tous AntiCovid, on retrouve le meme QRCode que celui qui est a gauche sur le papier.

Non pas dans mon cas, as-tu vérifié ?

avatar Tomtomrider | 

@r e m y

Ça change que lorsque vous sortez votre papier dans une file d’attente, en plus d’être scanné de la même façon que dans l’application, les gens autour voient aussi les informations, par exemple en reconnaissant le papier. C’est plus sympa de partager

avatar Alex56 | 

@reborn
L'app Photo de l'iPhone suffit pour décoder le QRCode et lire son contenu.

avatar bibi81 | 

L'app Photo de l'iPhone suffit pour decoder le QRCode et lire son contenu.

Oui mais cela ne te dit pas si les informations sur le QRCode sont vraies.

avatar r e m y | 

Et alors? La mini-polémique porte sur les infos que révèlent le QRCode, (info qui sont également écrites en clair sous le QRCode) pas sur le fait de savoir s'il est valide ou pas!

avatar bibi81 | 

Oui mais les infos qui sont également écrites en clair peuvent être retirées (une paire de ciseau et le tour est joué). Pour le QRCode c'est raté...
Moi perso je m'en fout mais pour ceux qui tiennent absolument à cacher qu'ils se sont faits vacciner ou tester, je peux comprendre.

avatar r e m y | 

Un coup de ciseau en travers du QRCode est tout aussi efficace, mais chercher à cacher qu'on s'est fait vacciner quand on doit prouver qu'on est vacciné c'est un peu ballot, non? 🤔

avatar bibi81 | 

Mais le pass sanitaire n'a pas vocation à prouver qu'on est vacciné justement. Il a vocation à prouver qu'on est vacciné ou qu'on est testé négatif...

avatar Ded77 | 

À partir du moment où les infos perso sont en clair dans le QR code, ça va être chaud pour faire machine arrière.

Peu importe les changements dans l’app :(

#FailByDesign

avatar marc-5 | 

@Ded77

Tu peux toujours modifier les QR code sur Ameli. Les gens téléchargent à nouveau ensuite d’ici demain.

avatar Ded77 | 

@marc-5

C’est pas très simple pour le « grand public » d’aller sur un site pour re-télécharger un QR code qu’on leur a déjà fourni en version papier lors de la vaccination.

avatar marc-5 | 

@Ded77

Une grosse majorité (avant le 3 mai) et donc les + âgés doivent le faire de toutes façons.
Dans tous les cas il est bien indiqué que ce QR code est temporaire et évoluera selon la standardisation européenne.

Pages

CONNEXION UTILISATEUR