Alors que le Conseil constitutionnel doit se prononcer ce jeudi 5 août sur l'extension du pass sanitaire aux restaurants et à certains transports, IN Groupe (ex-Imprimerie Nationale) a finalement diffusé le code source de l'application TousAntiCovid Verif qui est utilisée par les professionnels pour scanner les pass. Ce code, qui n'est disponible que partiellement, a été analysé par le développeur gilbsgilbs, il a relevé plusieurs anomalies.
Un problème majeur est que si l'on passe le téléphone Android en langue anglaise (celui qui sert à valider le pass, pas celui qui présente le pass), l'application va alors considérer tous les QR code comme valides. Un dysfonctionnement que nous avons pu vérifier :
C'est une erreur de développement assez grossière qui pourrait amener des problèmes en cette période de vacances. Les professionnels du tourisme qui utilisent un appareil Android configuré en anglais vont donc obtenir un feu vert pour tous les QR code, même ceux qui sont invalides, jusqu'à ce que l'anomalie soit réglée. Sur la version iOS de TousAntiCovid, ce problème n'est pas présent car l'implémentation est différente.
gilbsgilbs critique également la licence du code source qui est propriétaire et contraignante. Celle-ci interdit les forks (versions alternatives basées sur le même code) et la redistribution des sources. La Suisse dispose d'une application semblable qui est entièrement open source, il estime que la France devrait être en mesure de faire la même chose et de ne pas jouer la sécurité par l'obscurité. Récemment, IN Groupe a ajouté du chiffrement de bout en bout pour la conversion des certificats qui transitent sur les serveurs de l'américain Akamai. Orange devrait prochainement prendre la relève.
Mise à jour le 10 août : le bug lié à l'anglais a été corrigé par la version 1.7 de TousAntiCovid Verif sur Android.
