Instauré officiellement demain, le dispositif de pass sanitaire fait débat. La gestion des données des utilisateurs est mise en cause.

Le mercredi 9 juin marquera une nouvelle étape dans le retour à la vie pré-COVID : le couvre-feu sera décalé à 23 h tandis que les bars, cafés et restaurants rouvriront partiellement. Ce jour va aussi marquer l'apparition du pass sanitaire, un dispositif mis en place « de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination ».

Ce pass sanitaire sera obligatoire dans certaines situations, comme les événements rassemblant plus de 1 000 personnes. Il ne faut pas le confondre avec le QR code à scanner à l'entrée des bars et restaurants pour le traçage des contacts.

Ce pass sanitaire va être intégré dans l'application TousAntiCovid, qui inclut désormais un carnet de tests et de vaccinations afin de montrer patte blanche à l'entrée de certains événements. Christian Quest, data scientist et porte-parole d'OpenStreetMap, s'est inquiété de problèmes de confidentialité liés à ce dispositif :

Cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses.

Pour comprendre pourquoi, il faut s'intéresser aux QR codes distribués après la vaccination. D'après le gouvernement, ces codes contiennent uniquement des données relatives au vaccin ainsi que le nom, prénom et la date de naissance de la personne. Le site Broken by Design explique que ceux-ci permettent en fait de déduire d'autres informations : le détenteur a-t-il eu besoin de plusieurs doses ? Fait-il partie des citoyens prioritaires pour la vaccination ? Ces informations sont disponibles en clair : elles ne sont pas chiffrées et donc accessibles à n'importe quelle personne équipée d'un lecteur basique de QR code.

Le problème principal vient de là : comment garder ses données protégées si n'importe qui peut les lire avec une app commune ? En entrant le code dans l'application TousAntiCovid, celle-ci pourrait donc accéder à toutes les données, tout comme les autres applications qui le scanneront. Notez cependant qu'il est possible de présenter son pass sanitaire sous la forme d'un PDF ou au format papier, l'intégration à TousAntiCovid n'est pas obligatoire.

Le gouvernement a tenté de répondre à ce problème grâce à TousAntiCovid Verif, une application pour le personnel chargé de vérifier les entrées. Le système a été annoncé comme sécurisé : si quelqu'un scanne votre QR code à l'entrée d'un concert de plus de 1 000 personnes par exemple, il ne reçoit qu'une information limitée (peut entrer/ ne peut pas entrer). Une version spécifique du logiciel de vérification a été annoncée pour les structures ayant besoin de plus de données (par exemple les compagnies aériennes).

Premier souci : cette application est disponible sur l'App Store et téléchargeable sans aucune vérification. Au lancement de l'app, un pop-up vous rappelle que cette application est réservée aux personnes habilitées, et l'accès à l'application se base sur une simple déclaration sur l'honneur. Impossible donc de savoir si ce sont les bonnes personnes qui s'en servent.

Deuxième souci : cette application se contente en fait de cacher certaines données du QR code. On l'a vu, d'autres applications basiques peuvent extraire plus de données du même document car rien n'est chiffré. À partir de là, une version spécifique pour les compagnies aériennes n'aurait pas de sens : les données les plus sensibles sont déjà récupérables avec d'autres applications grand public.

Le code source de l'application TousAntiCovid Verif n'est pour le moment pas disponible en ligne, contrairement à celui de TousAntiCovid qui est open source. L'internaute gilbsgilbs s'est intéressé de plus près au fonctionnement de cette application. Il relève que le code de l'application embarque des composants propriétaires de Google (Firebase et certains services de Google Play), ce qui avait déjà créé une polémique récemment.

De plus, les informations scannées sont envoyées sur un serveur de l'Imprimerie nationale (détenue à 100 % par l'État), qui développe l'application. Pourquoi cet envoi si les données sont disponibles directement depuis le QR code ? Cela soulève évidemment plusieurs questions, par exemple si le pass est scanné dans le cas d'une manifestation ou d'un évènement « sensible » : techniquement, l'État pourrait récupérer une liste des participants. Ce passage par les serveurs d'IN Groupe pourrait aussi provoquer des difficultés techniques lors des évènements où la connexion est lente ou saturée.

Enfin, l'application TousAntiCovid Verif est censée bloquer les captures d'écran. Un système pas encore au point sur iOS : dans la dernière version de l'application, un message d'alerte s'affiche après que la capture d'écran a été prise…

Une conférence de presse avec Cédric O sur le thème du pass sanitaire aura lieu cet après-midi à 16 h. Nous mettrons à jour l'article en fonction des déclarations du gouvernement.

Mise à jour du 8 juin à 16h35 : à l'occasion de la conférence de presse de cet après-midi, un porte-parole a expliqué que TousAntiCovid Vérif avait en effet été développé avec des calculs sur serveurs. Cela ne devrait bientôt plus être le cas : une mise à jour permettra de tout faire en local « dans les prochains jours ». Plusieurs développeurs ont déjà prouvé qu'il était possible de créer une alternative à TousAntiCovid Vérif entièrement hors ligne, en version web ou Android.

Une version open source de cette application est aussi prévue, et les développeurs travaillent actuellement à une version du code publiable sans en affaiblir les sécurités. Le code utilisait bien des composants de Google à but expérimental. Ceux-ci vont apparemment être supprimés dans une mise à jour des versions iOS et Android dès aujourd'hui.