TousAntiCovid Verif valide un peu trop vite les pass dans une configuration spécifique 🆕

Félix Cattafesta |

Alors que le Conseil constitutionnel doit se prononcer ce jeudi 5 août sur l'extension du pass sanitaire aux restaurants et à certains transports, IN Groupe (ex-Imprimerie Nationale) a finalement diffusé le code source de l'application TousAntiCovid Verif qui est utilisée par les professionnels pour scanner les pass. Ce code, qui n'est disponible que partiellement, a été analysé par le développeur gilbsgilbs, il a relevé plusieurs anomalies.

Un problème majeur est que si l'on passe le téléphone Android en langue anglaise (celui qui sert à valider le pass, pas celui qui présente le pass), l'application va alors considérer tous les QR code comme valides. Un dysfonctionnement que nous avons pu vérifier :

À gauche, le smartphone Android configuré en français indique que le pass est invalide. À droite, le smartphone configuré en anglais indique que le même pass est valide.

C'est une erreur de développement assez grossière qui pourrait amener des problèmes en cette période de vacances. Les professionnels du tourisme qui utilisent un appareil Android configuré en anglais vont donc obtenir un feu vert pour tous les QR code, même ceux qui sont invalides, jusqu'à ce que l'anomalie soit réglée. Sur la version iOS de TousAntiCovid, ce problème n'est pas présent car l'implémentation est différente.

gilbsgilbs critique également la licence du code source qui est propriétaire et contraignante. Celle-ci interdit les forks (versions alternatives basées sur le même code) et la redistribution des sources. La Suisse dispose d'une application semblable qui est entièrement open source, il estime que la France devrait être en mesure de faire la même chose et de ne pas jouer la sécurité par l'obscurité. Récemment, IN Groupe a ajouté du chiffrement de bout en bout pour la conversion des certificats qui transitent sur les serveurs de l'américain Akamai. Orange devrait prochainement prendre la relève.

Mise à jour le 10 août : le bug lié à l'anglais a été corrigé par la version 1.7 de TousAntiCovid Verif sur Android.


avatar Niarlatop | 

Dommage.

Mais depuis début Juillet je n'ai vu personne prendre le temps de scanner un QR code.
Il suffit d'en montrer un pour accéder n'importe où 🙈

Je ne compte plus le nombre de touristes fiers d'avoir contourné le système en montrant un scan photoshoppé. Et après, les gens vont s'étonner quand les états vont mettre en place des contraventions pour non respect des règles :)

avatar holzmann | 

@Niarlatop

Bah … le Pass Sanitaire est obligatoire depuis le 21 juillet. Logique que début juillet, personne ne le scanne …

Perso, on m’a scanné le mien 4 fois en une semaine …

avatar Niarlatop | 

C'était sensé être le cas dans le pays où je suis parti. Personne n'a scanné le pass à l'aéroport, ni au départ ni à l'arrivée.

Dès qu'on disait le mot Pfizer, zou, on entrait n'importe où.

avatar Paquito06 | 

@Niarlatop

"C'était sensé être le cas dans le pays où je suis parti. Personne n'a scanné le pass à l'aéroport, ni au départ ni à l'arrivée.
Dès qu'on disait le mot Pfizer, zou, on entrait n'importe où."

Pour voyager a nouveau entre les US et la France depuis quelques mois, c’est au p’tit bonheur la chance les controles. Ca depend de la compagnie aerienne, des jours, horaires, etc. Si tu te tapes au meme moment un cargo avec 500 chinois au depart/a l’arrivee en plein weekend que tu passes par SFO/CDG/JFK, tu sais qu’on t’attend au tournant. Si tu voyages entre Denver/Milan en milieu de semaine, y a parfois zero controle dans les deux sens 😁

avatar Link1993 | 

@Niarlatop

Alors moins, depuis août et l'obligation, c'est l'inverse. En revanche, on me demande pas ma carte d'identité...

avatar Steve Molle | 

@Link1993

Encore heureux. C’est tout bonnement interdit.

avatar Link1993 | 

@Steve Molle

Nope, ils devaient demander les deux il me semblait...

avatar onkr | 

@Link1993
Exact, mais la mesure vient d'être retoqué par le conseil constitutionnel. Contrôle réservé à la seule police...
Une sortie cette semaine (ouais…) = un scan...

avatar Steve Molle | 

@onkr

Ça semblait tellement évident…dommage qu’il faille le conseil constitutionnel pour dire les basiques

avatar Sindanárië | 

@onkr

"Contrôle réservé à la seule police..."

Non. Pas tout à fait.

En France :
l'article L. 131-15 du code monétaire et financier prévoit que « toute personne qui remet un chèque en paiement doit justifier de son identité au moyen d'un document officiel portant sa photographie ». La carte d'identité est un document officiel qui comporte une photographie de son titulaire. Le commerce ou la personne que vous payez peut donc vous la réclamer et vous n’avez pas le droit de vous opposer… ou alors abandonner la transaction ou utiliser un autre moyen de payement.

Dans les banques et organismes financiers c’est obligatoire Les établissements bancaires sont tenus de vérifier votre identité dans le cadre de la lutte contre le blanchiment d'argent et de conserver une copie de cette identité jusqu’à cinq ans après la clôture des comptes ou de la cessation de vos relations.

Dans les hôtels, campings, Maison d’hôtes… vous devez aussi la présenter afin de justifier votre nationalité. En effet, en France, les hôteliers sont tenus de faire remplir et signer par toute personne étrangère, dès son arrivée, une fiche individuelle de police à des fins de prévention des troubles à l'ordre public, d'enquêtes judiciaires et de recherche dans l'intérêt des personnes. (Fiches récoltées par les forces de l’ordre très régulièrement, certains hôtels les transmettent directement par voie numérique)

Alors même si ça ne concerne que les personnes n’étant pas de nationalité française, montrez la quand même ça simplifie les choses tout de suite (1) et évite de passer pour le stupide gaulois réfractaire (2) et déjà vous mettre à dos le personnel durant votre séjour ou tout simplement avoir affaire ensuite aux FDO juste pour avoir l’illusion d’être un dominant qui contrôle son monde !

(1 : il faut juste la montrer, ⚠️ les photocopies ne leur sont pas autorisées)
(2 : Oui sur ce point là, je rejoins ce que disait votre bien aimé président, c’était loin d’être exagéré sur cette attitude (qu’il manifeste très bien lui aussi par ailleurs ^^))

avatar lepoulpebaleine | 

@Sindanárië

Idem pour les concours et examens. Les candidats doivent justifier de leur identité.
J’ai été jury pour un concours d’école d’ingénieurs (à l’oral). Chaque candidat devait présenter sa convocation et sa CI ou passeport.

avatar Steve Molle | 

@lepoulpebaleine

Ça n’a strictement rien à voir mais ok.

avatar Francois04 | 

@Steve Molle

Non, c’est autorisé sauf dans le cas des bars et des restaurants

avatar Sindanárië | 

@Francois04

Sauf si vous payez par chèque 🤪 là c’est obligatoire !

avatar lepoulpebaleine | 

@Niarlatop

Pas plus tard que hier soir, au cinéma, la personne devant moi s’est faite refouler car son QR code était invalide. Elle n’avait pas respecté la durée de 7 jours après la deuxième injection.

avatar xDave | 

Je relis.
"Un problème majeur est que si l'on passe le téléphone Android (qui sert à valider le pass) en langue anglaise, l'application va alors considérer tous les QR code comme valides."
-> En ces temps de tourisme etc…

Ok, bug sympa, mais pourquoi un barman français passerait son téléphone (Androïd) en langue anglaise pour valider le pass?

avatar gwen | 

@xDave

J’ai un de mes iPhone en anglais. Je suppose que je ne suis pas tout seule. Il y a plein d’étranger qui ont un bar où un restaurant.

avatar xDave | 

@gwen

Ok my bad. Le « si on bascule m’a embrouillé ».
Donc si l’OS est en langue étrangère (j’imagine que C’est pareil en Wolof ou en libanais) l’application bug, ce n’est pas la bascule qui fait bugger.

iPhone non concernés apparemment.

avatar gwen | 

@xDave

En effet, je doute qu’une personne décide de basculer intentionnellement son téléphone androïde pour ça 😂

avatar Oliviou | 

T’façon les gens scannent avec les yeux. No problem.

avatar Steve Molle | 

Comment est on 100% certain en l’état que ces scans ne sont pas transmis quelque part ?

avatar r e m y | 

Où veux-tu qu'ils soient transmis ?

Maintenant tu peu charger TousAntiCovid Vérif et vérifier qu'il fonctionne même en déconnectant 4G et WiFi

avatar Steve Molle | 

@r e m y

Oui oui mais il peut très bien mettre ceci en cache et transmettre s’il retrouve une connexion.

avatar r e m y | 

Transmettre à qui???

Bon si vous voulez vérifier les transferts de données, installez LittleSnitch sur votre mac. Ensuite partagez la connexion internet de votre Mac avec l'iPhone. Toutes les communications internet de votre iPhone seront analysées par LittleSnitch.
Lancez TousAntiCovid Verif puis scannez des pass sanitaire. Vous devriez constater que ça ne déclenche aucune communication avec un quelconque serveur.

avatar Steve Molle | 

@r e m y

Transmettre à qui ? A l’Etat.

avatar r e m y | 

L'Etat qui a délivré ces pass sanitaire a DÉJÀ l'info de votre statut vaccinal!

avatar Steve Molle | 

@r e m y

Vous avez du mal. Ce manque d’imagination est cruellement difficile à accepter quand il s’agit de liberté publique. D’autant que ce genre de procédés a déjà été vendus par la France à des régimes peu respectables : Syrie ou Tunisie par exemple.

Petite application : s’il y a transmission on pourrait savoir avec qui a mangé x ou y, a quel endroit, et à quel moment.

avatar romainB84 | 

@Steve Molle

« Ce manque d’imagination est cruellement difficile à accepter quand il s’agit de liberté publique »

Ce trop plein d’imagination (j’aime bien l’expression tient!! Ça sonne mieux que « les adeptes des théories du complot ») n’est guère mieux ^^.

avatar romainB84 | 

@Steve Molle

Je suis au 6 allée du parc du château 69800 Saint Priest!
Je fais même gagner du temps à l’état si il veut savoir où je suis (ça lui fera économiser le prix du développement d’une app spécifique)
Dans un petit parc avec mon fils !

avatar Sindanárië | 

@romainB84

Vous habitez dans un zoo, allez avoue 😆

avatar romainB84 | 

@Sindanárië

🤣🤣! Nan mis il y a un joli parc pas loin en face du château de saint priest 🙃

avatar Steve Molle | 
avatar romainB84 | 

@Steve Molle

Je suis au 4 allée du parc du château maintenant (ouais je suis mobile je sais ^^) t’as vu, j’actualise ma position pour encore plus faciliter le travail de l’état 😁

avatar Steve Molle | 

[Modéré - SM]

avatar romainB84 | 

[Modéré - SM]

avatar Steve Molle | 

[Modéré - SM]

avatar romainB84 | 

[Modéré - SM]

avatar Steve Molle | 

[Modéré - SM]

avatar romainB84 | 

[Modéré - SM]

avatar Steve Molle | 

[Modéré - SM]

avatar romainB84 | 

[Modéré - SM]

avatar Steve Molle | 

[Modéré - SM]

avatar romainB84 | 

[Modéré - SM]

avatar Steve Molle | 

[Modéré - SM]

avatar Steve Molle | 

[Modéré - SM]

avatar romainB84 | 

[Modéré - SM]

avatar Steve Molle | 

[Modéré - SM]

avatar romainB84 | 

[Modéré - SM]

Pages

CONNEXION UTILISATEUR