Pass sanitaire et code QR : ça passe pour la vie privée

Florent Morin |

StopCovid, destinée à « tracer » les cas-contacts, est devenue TousAntiCovid, qui s’est progressivement transformée en guide renfermant les indicateurs sanitaires et les informations sur la campagne de vaccination. L’application du gouvernement peut maintenant enregistrer le statut vaccinal, le résultat d’un test négatif ou le certificat de rétablissement d’une personne, et faire office de « pass sanitaire ». Ce qui pose une question aussi simple que cruciale : quid de la sécurité du code QR et de la protection des données privées ?

TousAntiCovid : une application de plus en plus polyvalente.

Quels risques pour la confidentialité ?

Vous pouvez juger des risques envers la confidentialité de vos données en vous posant trois questions : une information peut-elle permettre de vous identifier personnellement ? La collecte d’informations peut-elle permettre de créer un profil numérique vous correspondant ? Les informations ainsi réunies peuvent-elles avoir un effet négatif sur votre vie quotidienne ? Cette grille de lecture s’applique facilement aux réseaux sociaux, par exemple.

Que vous possédiez un compte Instagram ou pas, vous pouvez être reconnu au second plan d’un selfie diffusé par un « influenceur » à des millions de personnes, mais les conséquences sont rarement graves. Que vous possédiez un compte Facebook ou pas, le pixel Facebook disséminé sur les sites web permet de retracer votre navigation et de créer un profil, avec les conséquences que le scandale Cambridge Analytica a bien montrées.

Nous avons appliqué une grille de lecture similaire pour soulever les questions posées par la première version de StopCovid. La fuite de données aussi personnelles que les lieux fréquentés et une éventuelle contamination pourrait avoir des conséquences graves sur la capacité de trouver un emploi ou signer un contrat d’assurance. L’attention que l’on doit porter à la sécurité de ces données, voire à la pertinence de les collecter, doit être à la mesure des risques encourus.

Le code QR

L’essentiel est donc de faire la part des choses entre ce qui est risqué et ce qui ne l’est pas, et d’établir la balance bénéfices/risques. Prenons l’exemple du code QR désormais utilisé pour « tracer » les contacts dans les lieux publics. Ce code renferme trois informations :

  • un code unique ;
  • un numéro de version ;
  • une date qui doit être inférieure à 14 jours.

Le code unique est la seule information utile pour le traçage, chiffrée et stockée sur le smartphone. Jusqu’ici, aucun risque pour la vie privée.

Alors que le contact tracing de l’application StopCovid utilisait le protocole centralisé ROBERT, le traçage avec les codes QR est décentralisé avec le protocole CLEA. La liste des codes des clusters est régulièrement récupérée, et comparée en local avec les codes des lieux visités. Si on est concerné par un lieu visité, une autre requête est exécutée afin d’avoir les détails du risque en fonction de la date précise de la visite.

Si on se signale comme malade, la liste des codes de lieux visités est envoyée pour ensuite être redistribuée vers les utilisateurs. Au final, les informations transmises sont minimales et la fiabilité du code QR est incomparable à celle du Bluetooth, en particulier sur iPhone. Le risque pour la vie privée est bien plus élevé en saisissant ses coordonnées personnelles dans un carnet de rappel.

Le pass sanitaire

Le sujet du pass sanitaire est plus délicat, car il s’agit de présenter des informations personnelles au travers d’un code QR :

  • l’identité de la personne vaccinée ;
  • sa date de naissance ;
  • le type de preuve sanitaire (statut vaccinal, résultat d’un test négatif, certificat de rétablissement) ;
  • les informations liées au type de preuve (dans le cas du statut vaccinal : vaccin administré, nombre de doses, date de la vaccination, émetteur du certificat) ;
  • les informations permettant de confirmer l’authenticité de la preuve.

Les informations fournies sont clairement identifiantes, mais après tout, des centaines de milliers de personnes ont annoncé leur vaccination sur les réseaux sociaux. Le risque réside d’abord et avant tout dans la possibilité que ces informations soient exploitées par des personnes malveillantes au moment de scanner le code.

Si on sait que vous êtes allé dans tel restaurant puis dans tel lieu de culture, cela peut en dire long sur votre catégorie socio-professionnelle et autres informations personnelles croisées ensuite avec le reste des informations laissées ici et là. Est-ce que cela apporte réellement une information supplémentaire par rapport à l’usage de la carte bancaire, des réseaux sociaux et autres ? Cela dépend de chacun.

Il y a également un évident risque de discrimination du fait d’être vacciné ou non, testé ou non et malade ou non. Mais on dépasse ici le périmètre du pass sanitaire. Vaut-il mieux garder le certificat sur un papier ou bien l’importer dans l’application TousAntiCovid ? L’enregistrement dans une application installée sur un téléphone protégé par un chiffrement robuste est probablement plus prudente que l’impression d’un morceau de papier qui est toujours visible et peut être égaré. Cela dépend encore une fois des usages de chacun.

Dernier point : la fameuse web app CovidPass qui permet d’ajouter le certificat à l’application Wallet dont nous avons déjà parlé à sa sortie a un peu évolué. Aujourd’hui, on peut générer un certificat depuis son propre serveur via Docker et on peut utiliser son propre compte développeur Apple pour la signature numérique du pass. À l’installation du pass dans Wallet, la signature de ce dernier est vérifiée par mesure de sécurité, comme pour une app.

Ensuite, le tout reste hors ligne. Il faut bien penser à bloquer l’accès à Wallet avec un code ou Touch ID/Face ID comme nous l’avions déjà précisé (Réglages > Face ID et code > Wallet). Par défaut, il n'y a pas de protection, ce qui signifie que quiconque a votre iPhone peut consulter votre pass. Concernant la protection des données dans Wallet, il y a un chiffrement géré par le système comme pour toute application. Mais le niveau de sécurité sera probablement inférieur à celui de TousAntiCovid, car Wallet est initialement prévu pour des usages tels que les billets d’avion qui contiennent des données moins sensibles.

Un choix personnel

Compte-tenu des informations à disposition et des connaissances actuelles sur le sujet, il n’y a pas spécialement lieu de s’inquiéter concernant les codes QR dans les lieux public. Il est bien plus prudent de scanner et garder sur son appareil un code plutôt que de laisser ses coordonnées sur un carnet à la vue de tout le monde.

Pour ce qui est du pass sanitaire, la seule question est de savoir s’il est plus à l’abri dans votre smartphone chiffré et verrouillé ou bien caché dans votre poche. Pour le reste, on n’a pas spécialement le choix si on souhaite se rendre dans un lieu concerné par les obligations de pass sanitaire. Cela semble très bien sécurisé, mais personne n’est à l’abri d’une faille. À partir de ces éléments, la balance bénéfice/risque est propre à chacun et reste un choix personnel.


avatar Dodo01 | 

@anton96

Oui tout comme le vaccin chez les jeunes.

avatar Olivier_D | 

@Dodo01

Si vous considérez 2 jours avec des symptômes grippaux comme étant violent, il va falloir sincèrement revoir votre seuil de douleur.

avatar fte | 

@Dodo01

"Savoir rester lucide."

Lucide ? Comme ne penser qu’à ses propres risques en se fichant de la chaîne de contamination qui touchera peut-être pas mal de moins jeunes ?

Ce n’est pas lucide le juste mot.

avatar Dodo01 | 

@fte

Oui donc sans se soucier d’éventuels effets néfastes à long terme du vaccin. Sur des sujets plus importants (jeunes).

avatar fte | 

@Dodo01

"Oui donc sans se soucier d’éventuels effets néfastes à long terme du vaccin."

Qui a dit ça ?

Et les effets néfastes de la non-vaccination, peut-on s’en soucier ? Par exemple les mutations et la propagation de variants ?

"Sur des sujets plus importants (jeunes)."

Oh. Les gens ont des valeurs différentes selon… selon quoi d’ailleurs ? L’âge, ok. Quoi d’autre ? Sexe ? Couleur ? Religion ? Nationalité ? Revenus peut-être ? C’est un bon critère capitaliste ça. Orientation politique ? Leur statut de vaccination ? Ça, ça serait un critère hilarant.

avatar Dodo01 | 

@fte

Oui un jeune va être traité en priorité aux urgences par rapport à des personnes âgées.
Question d’éthique là encore.

avatar fte | 

@Dodo01

Eh bé. Dans mon pays le triage est fait selon la gravité des cas. L’éthique n’est pas la même partout on dirait.

avatar IceWizard | 

@fte

« Eh bé. Dans mon pays le triage est fait selon la gravité des cas. L’éthique n’est pas la même partout on dirait. »

L’espèce des Dodos est éteinte depuis plus d’un siècle. Un rapport de causalité, peut-être ?

avatar fte | 

@IceWizard

"L’espèce des Dodos est éteinte depuis plus d’un siècle. Un rapport de causalité, peut-être ?"

Ils n’ont pas été tous bouffés ? J’ai pas envie de bouffer de celui-là.

Je pense qu’il faudrait commencer par un test de QI aux urgences, pour soigner les plus utiles à l’espèce d’abord.

avatar IceWizard | 

@fte

« Ils n’ont pas été tous bouffés ? »

Ils sont morts d’une hyper-adaptation à un environnement quasi-parfait. Quand les conditions environnementales ont changées (arrivée des navires occidentaux avec des marins affamés n’ayant pas mangés de viande fraîche depuis des mois, et des chiens retournés à l’état sauvage), ils n’ont pas sus s’adapter.

C’est navrant de lire des récits de l’époque, où des marins expliquent comment ils massacraient les oiseaux, pour refaire les réserves de vivres, sous les yeux indifférents des autres Dodos à quelques mètres de là. Sans la reconnaissance des prédateurs et le réflexe de fuite, une race est condamnée à mort !

avatar fte | 

@IceWizard

"Sans la reconnaissance des prédateurs et le réflexe de fuite, une race est condamnée à mort !"

Comme les anti-vax face aux virus prédateurs ?

avatar IceWizard | 

@fte

« Comme les anti-vax face aux virus prédateurs ? »

C’était sous-entendu dans ma réponse, bien évidemment !

avatar Brice21 | 

@fte

"Je pense qu’il faudrait commencer par un test de QI aux urgences, pour soigner les plus utiles à l’espèce d’abord."

C’est le principe du vaccin. Ceux dont le QI est trop faible ne se font pas vacciner et vont finir par crever d’un variant ou l’autre quand ils seront de plus en plus foudroyants.

avatar Brice21 | 

@fte

"selon quoi d’ailleurs ?"

Le QI.

avatar daxr1der | 

@fte

Pourquoi pensez aux autres ? Je pense déjà a mes problèmes de santé et à mon traitement lourd auquel les autres ne pensent pas…

avatar laraigneegypsymontealagouttiere | 

@Dodo01

et sinon t’as décidé d’arrêter de manger aussi ?

Parce que tu refuses de te faire vacciner mais par contre tu ignores complètement comment sont traités les aliments ou comment ils sont modifiés

avatar Dodo01 | 

@laraigneegypsymontealagouttiere

Comment tu sais que j’ignore ?
Je ne mange que des produits locaux.

avatar laraigneegypsymontealagouttiere | 

@Dodo01

Et bien sûr on sait tous que les produits locaux ne contiennent aucun produit chimique

Il n’y a strictement aucun rapport entre la proximité de production d’un produit et le fait de ne pas utiliser ou non des produits nocifs…

avatar Dodo01 | 

@laraigneegypsymontealagouttiere

C’était une boutade.

Mais manger je ne peux pas m’en passer.

Un vaccin pour une maladie du niveau de la grippe je m’en passe. Qui statistiquement touche quasiment que les personnes en état de morbidité ou gros.

On ferait mieux de s’occuper des jeunes qui sont obèses, un sur deux.

Toutes les RCP que j’ai pu faire c’était à chaque fois sur des personnes qui ne prennent pas soin de leur santé.

La COVID est anecdotique.

Alors je ne dis pas que c’est rien, mais pourrir l’humanité pour ça on est allé trop loin.

avatar laraigneegypsymontealagouttiere | 

@Dodo01

Les stats c’est bien mais finalement quand on connaît des gens jeunes sans aucun antécédent médical ni facteur de risque, atteints de covid long, qui ont 20-40 ans et désormais le corps et le métabolisme d’un vieux qui semble être en stade terminal, ça fait tout de suite réfléchir.

ces gens là on n’en parle pas tous les jours, les médias n’ont fait que répéter depuis le début que pour souffrir du covid ou en mourir il fallait être vieux ou obèse, je peux te dire que c’est faux. Et quand je vois l’état de la personne que je connais, je peux t’affirmer que c’est terrifiant étant donné que ça peut frapper n’importe qui quelque soit l’âge et la condition

avatar fte | 

@Dodo01

"La COVID est anecdotique."

Il ne l’est pas pour au minimum cette raison : les hôpitaux ont été surchargés un peu partout dans le monde, ce qui a eu au moins cette conséquence : le triage des urgences, usuellement pas des façons type Manchester Triage System (l’âge n’est pas un facteur pris en compte contrairement à ton affirmation et ton lien à l’éthique totalement déconnecté de toute réalité), s’est transformé en refus des patients pouvant être refusés, en déplacements de patients vers d’autres hôpitaux parfois éloignés, parfois au delà de frontières (la Suisse a accueilli des patients français en provenance d’hôpitaux surchargés), voire en morts par manque de prise en charge.

Des gens en bonne santé, jeunes, victimes d’un accident par exemple, sont morts parce que les hôpitaux étaient surchargés. C’est une réalité.

Des gens en bonne santé, jeunes, victimes d’un accident par exemple, pourraient encore mourir parce que les hôpitaux pourraient encore se retrouver surchargés parce des gens non vaccinés transmettant cette saloperie anecdotique aura encore une fois muté et pourrait devenir bien plus contagieuse et mortelle.

Ce serait marrant qu’ils ajoutent au système de triage la vérification du certificat de vaccination. Protégeons d’abord ceux qui font l’effort de protéger les autres.

Qui ça intéresse les maladies anecdotiques qui mettent les hôpitaux à genoux ? En gros toute personne saine d’esprit devrait se sentir un tout petit peu concernée.

Cet échange avec toi aura eu une conséquence en ce qui me concerne. Je pensais que c’était hors limite de rendre la vaccination obligatoire. Je suis OK avec la vérification des certificats pour manifestations ou autres réjouissances, voyages en avion, etc, ou test négatif, tests payants pour ceux qui peuvent se faire vacciner mais choisissent de ne pas le faire… mais forcer les gens à s’injecter un machin, non. C’était avant. S’il fallait voter sur la vaccination obligatoire cette semaine, je voterais oui. Tu m’as convaincu.

Merci.

avatar Steve Molle | 

@fte

Alors pour préciser les choses : les anciens - plus de 75 ans - ne sont quasiment jamais pris en réa hors période Covid….la Covid n’a fait que renforcer cette doctrine. Tu ne verras jamais un vieux rea. C’est ainsi.

avatar Malouin | 

@Dodo01

Tiens, voilà le commentaire du Spécialiste Généticien qui manquait pour éclairer le débat !

avatar marc_os | 

> Comme la modification du génome humain n’est plus exclue
😳
Attention à Crisper attack ! 🙃😀😆😅😂🤣

avatar Bigdidou | 

@Dodo01

« Comme la modification du génome humain n’est plus exclue »

Elle l’est totalement.
Absolument.
Sans la moindre doute.

Tu confonds ignare et incertain.

avatar Dodo01 | 

@Bigdidou

Mais oui tu es le meilleur tu sais tout toi 😘

avatar DG33 | 

@Dodo01

C’est ça. Il est préférable de bien respecter ton corps et ton génome en fumant, buvant des sodas et de l’alcool, avalant des plats saturés en sucres en sel et en matières grasses, etc.

Mon Dieu ce qu’il ne faut pas lire…

avatar kortortal | 

J'habite Mac génération à regarder cette vidéo pour compléter leurs articles

https://www.youtube.com/watch?v=0qNf71I2_UY

avatar dorninem | 

@kortortal

Ah la « quadrature du net », des psycho… blablabla… mais aucune / zéro solutions proposées.
Par ex QRCODE d’un passe sanitaire mais sans données de type nom/prénom/genre du porteur c’est top pour être copié / recopié. ZERO solution proposée pour contrer ceci.
La minimisation des données perso, soit… mais quoi donc ? ZERO solution proposée.
Il ne faut pas d’infos médicales ! euh… le fait d’être vacciné est bien une donnée médicale et il faut bien donner l’info, même si en effet des principes de SSI/ZKP auraient pu être appliqués.
A partir de 15 minutes cela tombe dans le délire total… une espèce de justification du style « délivrer des certificats comme des certificats d’immatriculation papier qui sont sécurisés c’est bien plus respectueux des données personnelles mais c’est plus cher donc le gouvernement à choisi ». Hummm le Monsieur ne sait peut-être pas que sur ces documents il y a une ligne nommé MRZ (Machine Readable Zone) qui n’est pas un QRCODE en effet mais permet de récupérer facilement plein d’informations, de plus lors d’un contrôle il est demandé la carte grise et aussi la carte d’identité /passeport pour vérifier le lien avec le porteur…
Idem après avec la CNIe alors que plein d’infos sur la CNI classique aussi.
La conclusion est top « a charge au Ministère de trouver une solution meilleure » !! facile, quelle bande de charlots !!!

avatar kortortal | 

@dorninem

Pour moi il apporte laProblématique c'est à l'état de gérer et de trouver des solutions mais ils ne le feront pas car les seules solutions proposées sont trop cher et peut-être moins pratique à mettre en place en génère un passe vaccinal il faut assumer sa création et ses failles de sécurité si il y avait une faille dans les billets de banque ce n'est pas à la population de trouver la solution

avatar dorninem | 

@kortortal

Bref là position de la facilité, je dénonce mais je ne propose rien. Un peu comme les anti vax donc 🤮

avatar IceWizard | 

@kortortal

« ils ne le feront pas car les seules solutions proposées sont trop cher »

Tu peux nous résumer ces propositions proposées, mais trop coûteuses ?

avatar kortortal | 

@IceWizard

Impression de carte type de carte d'identité ou certificat d'assurance voiture je n'ai plus le nom exact

avatar IceWizard | 

@kortortal

« Impression de carte type de carte d'identité ou certificat d'assurance voiture je n'ai plus le nom exact »

Je ne vois pas trop la différence avec un code barre papier. D’ailleurs j’ai imprimé mon passe sanitaire dans un petit format, pour le conserver dans un étui de passe navigo. En plus de la version iPhone.

avatar anton96 | 

Sinon si ça devait partir en couille, je conseil les vidéos de tati Clando.
Ça n’a absolument rien à voir, c’est assez wtf mais j’ai ris.

avatar inkult75 | 

Point Godwin dans…..

avatar roccoyop | 

@inkult75

J’ai faillis le faire dans les réactions plus haut, mais parfois ne pas réagir est signe de sagesse. 🌼

avatar AlexG | 

@roccoyop

🙏🏻

avatar TrollMan06 | 

🥱

avatar etio6 | 

La véritable question est surtout : a-t-on vraiment le choix ?

avatar  | 

@etio6
Non.

avatar marenostrum | 

T’as toujours le choix. Y a eu des peuples qui ont accepté de disparaître pour ne pas renier à leur principes. Homere en cite quelques-uns, Herodote, etc.

avatar Nonome77 | 

🍿🍿🍿🍿🍿🍺🍺🍺🍺🍺🍺
Va en falloir beaucoup 😂😂😂

avatar fredsoo | 

@Nonome77

Tu vas cultiver un facteur de risque aggravant… et tu vas nous couter une blinde 😉

avatar Nonome77 | 

@fredsoo

C’est ma tournée 😂. Par contre qui ramène les cacahuètes ???

avatar fredsoo | 

Va pour les cacahouètes 🤣

avatar romainB84 | 

@Nonome77

Rhooooo comme t’es !!
MacG peut être fier ! Ils ont réussi à créer une plateforme où viennent commenter tous les futurs prix nobels dans pratiquement tous les domaines 😍😍 (médecine / physique / économie / paix etc…).
Il suffit de venir tous les jours pour voir qu’ils ont tous les réponses à toutes les questions 🤣!
- Gérer l’une des plus grandes multinationales du monde : easy!!!
- régler le problème sanitaire a l’échelle mondiale : facile
- améliorer l’économie en France : aucun problème
- etc etc
🤣🤣

avatar Tofie | 

Bonsoir u

avatar inumerix | 

On a toujours le choix. Et aussi le droit d’aller manifester pour refuser cette infamie.

avatar Gilles Derval | 

@inumerix

Exactement, chaque année il referont un variant pour que l'on soit à leurs pieds continuellement ; les anglais l'ont bien compris. Ne pas oublier que ce variant aurait été fait par des scientifiques militaires chinois contre l'Inde

Pages

CONNEXION UTILISATEUR