Le pass sanitaire soulève des craintes en matière de confidentialité 🆕

Félix Cattafesta |

Instauré officiellement demain, le dispositif de pass sanitaire fait débat. La gestion des données des utilisateurs est mise en cause.

Le mercredi 9 juin marquera une nouvelle étape dans le retour à la vie pré-COVID : le couvre-feu sera décalé à 23 h tandis que les bars, cafés et restaurants rouvriront partiellement. Ce jour va aussi marquer l'apparition du pass sanitaire, un dispositif mis en place « de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination ».

Ce pass sanitaire sera obligatoire dans certaines situations, comme les événements rassemblant plus de 1 000 personnes. Il ne faut pas le confondre avec le QR code à scanner à l'entrée des bars et restaurants pour le traçage des contacts.

Le Carnet de tests dans l'app TousAntiCovid, où figurent les attestations de vaccination et les résultats de tests

Ce pass sanitaire va être intégré dans l'application TousAntiCovid, qui inclut désormais un carnet de tests et de vaccinations afin de montrer patte blanche à l'entrée de certains événements. Christian Quest, data scientist et porte-parole d'OpenStreetMap, s'est inquiété de problèmes de confidentialité liés à ce dispositif :

Cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses.

Pour comprendre pourquoi, il faut s'intéresser aux QR codes distribués après la vaccination. D'après le gouvernement, ces codes contiennent uniquement des données relatives au vaccin ainsi que le nom, prénom et la date de naissance de la personne. Le site Broken by Design explique que ceux-ci permettent en fait de déduire d'autres informations : le détenteur a-t-il eu besoin de plusieurs doses ? Fait-il partie des citoyens prioritaires pour la vaccination ? Ces informations sont disponibles en clair : elles ne sont pas chiffrées et donc accessibles à n'importe quelle personne équipée d'un lecteur basique de QR code.

Le problème principal vient de là : comment garder ses données protégées si n'importe qui peut les lire avec une app commune ? En entrant le code dans l'application TousAntiCovid, celle-ci pourrait donc accéder à toutes les données, tout comme les autres applications qui le scanneront. Notez cependant qu'il est possible de présenter son pass sanitaire sous la forme d'un PDF ou au format papier, l'intégration à TousAntiCovid n'est pas obligatoire.

Le gouvernement a tenté de répondre à ce problème grâce à TousAntiCovid Verif, une application pour le personnel chargé de vérifier les entrées. Le système a été annoncé comme sécurisé : si quelqu'un scanne votre QR code à l'entrée d'un concert de plus de 1 000 personnes par exemple, il ne reçoit qu'une information limitée (peut entrer/ ne peut pas entrer). Une version spécifique du logiciel de vérification a été annoncée pour les structures ayant besoin de plus de données (par exemple les compagnies aériennes).

Premier souci : cette application est disponible sur l'App Store et téléchargeable sans aucune vérification. Au lancement de l'app, un pop-up vous rappelle que cette application est réservée aux personnes habilitées, et l'accès à l'application se base sur une simple déclaration sur l'honneur. Impossible donc de savoir si ce sont les bonnes personnes qui s'en servent.

Deuxième souci : cette application se contente en fait de cacher certaines données du QR code. On l'a vu, d'autres applications basiques peuvent extraire plus de données du même document car rien n'est chiffré. À partir de là, une version spécifique pour les compagnies aériennes n'aurait pas de sens : les données les plus sensibles sont déjà récupérables avec d'autres applications grand public.

Le code source de l'application TousAntiCovid Verif n'est pour le moment pas disponible en ligne, contrairement à celui de TousAntiCovid qui est open source. L'internaute gilbsgilbs s'est intéressé de plus près au fonctionnement de cette application. Il relève que le code de l'application embarque des composants propriétaires de Google (Firebase et certains services de Google Play), ce qui avait déjà créé une polémique récemment.

De plus, les informations scannées sont envoyées sur un serveur de l'Imprimerie nationale (détenue à 100 % par l'État), qui développe l'application. Pourquoi cet envoi si les données sont disponibles directement depuis le QR code ? Cela soulève évidemment plusieurs questions, par exemple si le pass est scanné dans le cas d'une manifestation ou d'un évènement « sensible » : techniquement, l'État pourrait récupérer une liste des participants. Ce passage par les serveurs d'IN Groupe pourrait aussi provoquer des difficultés techniques lors des évènements où la connexion est lente ou saturée.

La version iOS de TousAntiCovid Verif ne bloque pour le moment pas les captures d'écran

Enfin, l'application TousAntiCovid Verif est censée bloquer les captures d'écran. Un système pas encore au point sur iOS : dans la dernière version de l'application, un message d'alerte s'affiche après que la capture d'écran a été prise…

Une conférence de presse avec Cédric O sur le thème du pass sanitaire aura lieu cet après-midi à 16 h. Nous mettrons à jour l'article en fonction des déclarations du gouvernement.


Mise à jour du 8 juin à 16h35 : à l'occasion de la conférence de presse de cet après-midi, un porte-parole a expliqué que TousAntiCovid Vérif avait en effet été développé avec des calculs sur serveurs. Cela ne devrait bientôt plus être le cas : une mise à jour permettra de tout faire en local « dans les prochains jours ». Plusieurs développeurs ont déjà prouvé qu'il était possible de créer une alternative à TousAntiCovid Vérif entièrement hors ligne, en version web ou Android.

Une version open source de cette application est aussi prévue, et les développeurs travaillent actuellement à une version du code publiable sans en affaiblir les sécurités. Le code utilisait bien des composants de Google à but expérimental. Ceux-ci vont apparemment être supprimés dans une mise à jour des versions iOS et Android dès aujourd'hui.


avatar Ded77 | 

@marc-5

Ah, je savais pas que c’était prévu qu’ils évoluent. Espérons qu’on se ravise sur ce format actuel un peu trop bavard (ou alors en faire 2 versions)

avatar iVador | 

On s’en fout. Quand on a rien à se reprocher, on a rien à cacher.

avatar Rogntudju | 

@iVador

"On s’en fout. Quand on a rien à se reprocher, on a rien à cacher."

Ce genre d’ironie tombe à plat en général

avatar occam | 

@Rogntudju

"Ce genre d’ironie tombe à plat en général"

Après le XXe congrès du PCUS, quand les plus anciens détenus des camps furent remis à la vie civile, un vieil apparatchik qui avait fait 21 ans de goulag réintégra la cellule du parti dont il avait été exclu en 1934. À la séance, on lui demanda pour combien il en avait pris, et pourquoi.
— Trente ans, dit-il. Pour rien. Rien. Je n’avais rien à me reprocher.

Les camarades étaient consternés. Après un long silence, la secrétaire de cellule le toisa et lui asséna :
— Tu mens, camarade. Chacun sait qu’on peut en prendre ici pour cinq ans, dix ans, vingt ans, les doigts dans le nez, sans rien avoir fait. Mais quand on en prend pour trente, c’est forcément qu’on a quelque chose à se reprocher.

avatar J'en_crois Pas_mes yeux | 

@ iVador ""On s'en fout. Quand on a rien a se reprocher, on a rien a cacher."
On s'en fout : quand on est trop con, e n'est pas possible de réfléchir.

avatar xDave | 

@occam

Hahaha

avatar jcp25 | 

@occam
Trente ans, dit-il. Pour rien. Rien. Je n’avais rien à me reprocher.
--
Dans un petit bouquin sorti vers 1968 "le communisme est-il soluble dans l'alcool" il y avait la version inverse :
- Trente ans, oui tu n'avais rien fait
- 5 ans pour meurtre, etc
Aussi :
Concours de blagues sur Brejnev dans la Pravda.
Premier prix : 20 ans fermes.

Et
Dans dans la Pravda, il n'y avait pas d'Izvestias
Et dans les Izvestias, il n'y avait pas de Pravda !
Les 2 journaux du régime : Izvestias (Les Nouvelles) et Pravda (la Vérité)

Cela ne me rajeuni pas !
🐾🐾🐾🐈🐈🐈

avatar RolandJDXI | 

@iVador

Toujours les même âneries, c'est pas parce qu'aujourd'hui tu as rien à te reprocher que demain ce sera le cas. Vu que maintenant même si tu es inscrit au cours d'aqua-poney de la commune tu es fiché. Si demain l'aqua ou le poney deviennent illégaux tu diras encore que t'as rien à te reprocher ?

avatar bibi81 | 

Vu que maintenant meme si tu es inscrit au cours d'aqua-poney de la commune tu es fiche. Si demain l'aqua ou le poney deviennent illegaux tu diras encore que t'as rien a te reprocher ?

Et donc si aujourd'hui je veux faire de l'aqua-poney, je fais quoi ?
1/ Je fais de l'aqua-poney parce que je n'ai rien à me reprocher.
2/ Je ne fais pas de l'aqua-poney parce que peut-être demain ce sera illégal.
3/ Je fais de l'aqua-poney parce que c'est trop cool mais j'y vais à poil pour prouver que je n'ai pas de mouchard sur moi et avec "un gros dossier" sur tous les autres participants pour être sûr qu'ils ne me dénoncerons pas si demain ça devient illégal.

iVador manifestement répond 1, moi aussi. Mais toi, tu conseilles quoi ?

avatar Bigdidou | 

@bibi81

«  Je fais de l'aqua-poney parce que c'est trop cool mais j'y vais à poil pour prouver que je n'ai pas de mouchard »

Ah, moi, j’y vais à poil parce qu’il y a des enfants.

Du coup, l’anonymat, ça m’arrange quand même bien.

avatar scanmb | 

@iVador

Vos toilettes n’ont pas de porte ?

avatar morpheusz63 | 

@iVador

Raisonnement de neuneu, va dire ça à ceux qui ce feront arrêter dans les manifestations contre les gouvernement ou autres choses -omme le démantelementde EDF, qui seront ficher, easy, et qui ce feront dans le fichier des Rg. Bravo la démocratie républicaine

avatar iVador | 

@morpheusz63

J’aime pas la démocratie. Il est temps d’en finir avec ce système dépassé.

avatar sucredorge | 

@iVador

Je te conseille la Corée du nord par exemple . On voit bien que tu n aimes pas la démocratie puisque tu ne tolères pas que d autres n aient pas tes opinions……

avatar iVador | 

@sucredorge

C’est un système qui ne marche pas, hélas. Les gens aiment les hommes forts qui pensent pour eux. C’est ainsi. Ils veulent de la sécurité. Et de l’ordre.

avatar badseed | 

@iVador

Baudelaire disait « la démocratie, c’est la tyrannie des imbeciles » il avait tout compris.

avatar Rogntudju | 

Incroyable… y’en a qui se réveillent seulement maintenant ?

avatar r e m y | 

Pas besoin de lecteur de QRCode, les infos sont écrites en clair sous le QRCode...

avatar MiniMac | 

@r e m y

Fabuleux : les étrangers vont encore rigoler … et ils auront raison de moquer l’incompétence française …‼️
J’en 😀 encore……

avatar r e m y | 

Pourquoi?
Quand vous allez dans des Pays qui impose une vaccination contre, par exemple, la fièvre jaune... le certificat de vaccination que vous présentez est intégralement rédigé en clair!

avatar MiniMac | 

@r e m y

Exact , voire en plusieurs langues et ça fonctionne bien ; aussi pourquoi ne pas continuer …?

avatar r e m y | 

Ben c'est bien ce qui se passe, non? Un certificat de vaccination, rédigé en clair, mais qui intègre également un QRCode pour une lecture plus rapide, voire automatisée....

avatar BLM | 

@r e m y
«Pas besoin de lecteur de QRCode, les infos sont écrites en clair sous le QRCode...»
Non: sous le qrcode, il n'y a que nom & prénom. Ds le qrcode (je viens de vérifier) il y aussi la date de naissance, les injections, vaccin utilisé, date de la dernière injection et des trucs que je ne comprends pas;

avatar r e m y | 

Non, toutes ces infos sont écrites en clair sous le QRCode (nom prénom, date de naissance, type de vaccin, n° de lot, date de vaccination, nombre de doses) comme sur un certificat de vaccination habituel (comme ceux qu'il faut montrer pour se rendre dans certains pays qui imposent certains vaccins)

avatar MGA | 

@r e m y

Le souci est qu’il y a une énorme différence entre montrer patte blanche à une frontière et devoir le faire plusieurs fois par jour dans chaque lieu de loisirs, lieu public…
Le secret à déjà été rompu sur les réseaux sociaux par une mairie 🙄 (accès doctolib non maîtrisé) et il y tellement de non respect des recommandations dans certains centres de vaccination que l’on peut s’attendre à ce que les grandes promesses d’aujourd’hui finissent comme d’habitude par n’engager que ceux qui les croient.

avatar r e m y | 

Je suis d'accord, mais ça, ça vient de la loi qui a été votée, imposant la présentation d'un certificat de vaccination à l'entrée de certains lieux ou événements.
Ça n'a rien à voir avec l'app TousAntiCovid ou l'app TousAnticovidCheck ou les infos contenues dans le QRCode.
On serait resté sur des certificats papiers (comme depuis des décennies pour entrer dans certains Pays), les problèmes de confidentialité et de rupture du secret médical seraient strictement les mêmes.

avatar MGA | 

@r e m y

L’app permet beaucoup, peut-être pas aujourd’hui mais un jour. C’est Tousenliberteconditionnelle. La Covid ne justifie en rien cette mesure.

avatar frankm | 

De toutes façons, si c’est un document officiel servant de passe, il sera bourré de données personnelles, comme une carte d’identité

avatar BLM | 

@frankm
«De toutes façons, si c’est un document officiel servant de passe, il sera bourré de données personnelles, comme une carte d’identité»
Sauf que la puce n'est lisible en principe que par les agents assermentés.

avatar J'en_crois Pas_mes yeux | 

Pourquoi il ne faut pas "faire confiance" au gouvernement :
Je me présente, je m'appelle Macron, vous me connaissez, et vous savez que vous pouvez me faire confiance. Mon seul souci, le bien des français (et en toute modestie de toute l'humanité)
Pourtant je vous en conjure : ne donnez pas une confiance "aveugle" au gouvernement.
J'aimerai vous assurer (vous rassurer) que je serai réélu, mais ce serait un mensonge...
Voyez le populiste l'année dernière au usa et en ce moment en Grande Bretagne. Et en France aux prochaines élections, on ne peut jurer de rien. Ca pourrait meme être encore pire.
"Royaume-Uni : le gouvernement prêt à vendre les données médicales des Anglais"
https://www.lemonde.fr/economie/article/2021/06/08/le-gouvernement-pret-a-vendre-les-donnees-medicales-des-anglais_6083271_3234.html

avatar faya | 

Je vais de ce pas me desinscrire et demander la suppression de mes données de tout internet et ensuite je reviens râler sur ce Qr code car c’est la faute a Mr le président

avatar Liena1 | 

Parfait, en pdf !

avatar r e m y | 

Ça change quoi d'avoir le document sur papier ou en pdf??? Le QRCode et les infos qu'il affiche restent les mêmes!

avatar Liena1 | 

@r e m y

Le problème n’est pas justement l’app qui parle un peu trop ?? 🤔
J’ai mal lu l’article ??🤭
Ouais ok, c’est en soi le qr code qui est « merdique »

avatar arnaaud57 | 

@r e m y

Je te rejoins parce que au final lors de la vaccination ton document est créé donc forcément c’est stocké quelque part

avatar moua | 

Ok pour la détection des immunodeprimés ( 3 doses).

Mais savoir qu’une personne a eu le Covid (1 dose), est-ce vraiment divulguer des infos de santé importantes ?

De même, la date de vaccination ne permet pas de savoir si une personne a une comorbidité. De très nombreuses personnes ont eu un créneau vacant avant l’ouverture à tous. Sans compter les professions prioritaires, voir les personnels de santé.

Pour le reste, le pass sanitaire ne contient en fait pas plus d’infos que la carte d’identité.

avatar morpheusz63 | 

@moua

Le secret médicale ça te parle?

avatar xDave | 

@morpheusz63

Mais puisqu’on s’en fout, on te dit!

avatar J'en_crois Pas_mes yeux | 

"On s'en fout. Quand on a rien a se reprocher, on a rien a cacher."

Je me suis toujours demandé qui pouvait écrire une phrase aussi idiote.
Un pauvre erre souffrant d'un déficit aiguë de cellules cérébrales,
ou un marketeux ânonnant la bible du parfait commercial ?

avatar Ichigo-Roku | 

Pour ta première question : tant qu'il y aura des idiots pour plonger dedans.

avatar kinon | 

C'est très bien que l'on vérifie que ces applications ne présentent pas de risques graves.
Mais ce qui me faire rire c'est surtout la disproportion entre le "risque" que l'on puisse "éventuellement" lire des données aussi peu importantes et se passer de la commodité de ce pass dans la réalité.
Peur de tout? Dogmatisme? Ou simplement par opposition à tout ce que fait le gouvernement.

avatar J'en_crois Pas_mes yeux | 

@ kinon
Dans ce cas précis, je ne vois en effet pas du tout ce que certains pourraient trouver d'inquiétant.
:-)

avatar sucredorge | 

Je viens de tester sur moi il y a juste le nom prénom à date de naissance . Et bien sur le statut valide ou non valide. Aucune autre info

avatar BLM | 

@sucredorge
«Je viens de tester sur moi il y a juste le nom prénom à date de naissance . Et bien sur le statut valide ou non valide. Aucune autre info»
je ne sais pas avec quoi vous avez testé, mais moi j'ai d'autres informations (voir ma contribution au-dessus).

avatar anonx | 

On arrête toutes ces conneries quand 80% d’abrutis seront vaccinés c’est bien ça?

avatar Ichigo-Roku | 

Heureusement qu'on n'attend pas le respect, sinon ça ne finirait jamais.

avatar ancampolo | 

La grande question je vais aux etats unis je sors tous anticovid pour justifier mon vaccin ça suffit?ou les ricains ne savent même pas ce que c’est?

avatar r e m y | 

Si les USA demandent un certificat de vaccination, QRCode dans TousAntiCovid, ou QRCode sur papier c'est pareil. C'est un certificat de vaccination lisible partout dans le monde.

avatar r e m y | 

Je ne comprends pas cette fixation que vous faites sur l'app TousAntiCovid Vérif (ou sa future version en webapp)...
Ça ne change rien au fait que n'importe qui peut lire le QRCode (surtout si vous vous baladez avec la version imprimée sur papier....) vu que c'est un code 2D-Doc tout ce qu'il y a de plus standard. N'importe quelle app lisant ces codes 2D-Doc peut le lire !

avatar scanmb | 

@r e m y

J’aurai voulu avoir le choix avec une app intégrant les APIs Google/Apple; on appelle ça une alternative je crois.
Un choix entre 2 éléments, dont l’un fonctionnant avec un iphone.

Pages

CONNEXION UTILISATEUR