Pass sanitaire et code QR : ça passe pour la vie privée

Florent Morin |

StopCovid, destinée à « tracer » les cas-contacts, est devenue TousAntiCovid, qui s’est progressivement transformée en guide renfermant les indicateurs sanitaires et les informations sur la campagne de vaccination. L’application du gouvernement peut maintenant enregistrer le statut vaccinal, le résultat d’un test négatif ou le certificat de rétablissement d’une personne, et faire office de « pass sanitaire ». Ce qui pose une question aussi simple que cruciale : quid de la sécurité du code QR et de la protection des données privées ?

TousAntiCovid : une application de plus en plus polyvalente.

Quels risques pour la confidentialité ?

Vous pouvez juger des risques envers la confidentialité de vos données en vous posant trois questions : une information peut-elle permettre de vous identifier personnellement ? La collecte d’informations peut-elle permettre de créer un profil numérique vous correspondant ? Les informations ainsi réunies peuvent-elles avoir un effet négatif sur votre vie quotidienne ? Cette grille de lecture s’applique facilement aux réseaux sociaux, par exemple.

Que vous possédiez un compte Instagram ou pas, vous pouvez être reconnu au second plan d’un selfie diffusé par un « influenceur » à des millions de personnes, mais les conséquences sont rarement graves. Que vous possédiez un compte Facebook ou pas, le pixel Facebook disséminé sur les sites web permet de retracer votre navigation et de créer un profil, avec les conséquences que le scandale Cambridge Analytica a bien montrées.

Nous avons appliqué une grille de lecture similaire pour soulever les questions posées par la première version de StopCovid. La fuite de données aussi personnelles que les lieux fréquentés et une éventuelle contamination pourrait avoir des conséquences graves sur la capacité de trouver un emploi ou signer un contrat d’assurance. L’attention que l’on doit porter à la sécurité de ces données, voire à la pertinence de les collecter, doit être à la mesure des risques encourus.

Le code QR

L’essentiel est donc de faire la part des choses entre ce qui est risqué et ce qui ne l’est pas, et d’établir la balance bénéfices/risques. Prenons l’exemple du code QR désormais utilisé pour « tracer » les contacts dans les lieux publics. Ce code renferme trois informations :

  • un code unique ;
  • un numéro de version ;
  • une date qui doit être inférieure à 14 jours.

Le code unique est la seule information utile pour le traçage, chiffrée et stockée sur le smartphone. Jusqu’ici, aucun risque pour la vie privée.

Alors que le contact tracing de l’application StopCovid utilisait le protocole centralisé ROBERT, le traçage avec les codes QR est décentralisé avec le protocole CLEA. La liste des codes des clusters est régulièrement récupérée, et comparée en local avec les codes des lieux visités. Si on est concerné par un lieu visité, une autre requête est exécutée afin d’avoir les détails du risque en fonction de la date précise de la visite.

Si on se signale comme malade, la liste des codes de lieux visités est envoyée pour ensuite être redistribuée vers les utilisateurs. Au final, les informations transmises sont minimales et la fiabilité du code QR est incomparable à celle du Bluetooth, en particulier sur iPhone. Le risque pour la vie privée est bien plus élevé en saisissant ses coordonnées personnelles dans un carnet de rappel.

Le pass sanitaire

Le sujet du pass sanitaire est plus délicat, car il s’agit de présenter des informations personnelles au travers d’un code QR :

  • l’identité de la personne vaccinée ;
  • sa date de naissance ;
  • le type de preuve sanitaire (statut vaccinal, résultat d’un test négatif, certificat de rétablissement) ;
  • les informations liées au type de preuve (dans le cas du statut vaccinal : vaccin administré, nombre de doses, date de la vaccination, émetteur du certificat) ;
  • les informations permettant de confirmer l’authenticité de la preuve.

Les informations fournies sont clairement identifiantes, mais après tout, des centaines de milliers de personnes ont annoncé leur vaccination sur les réseaux sociaux. Le risque réside d’abord et avant tout dans la possibilité que ces informations soient exploitées par des personnes malveillantes au moment de scanner le code.

Si on sait que vous êtes allé dans tel restaurant puis dans tel lieu de culture, cela peut en dire long sur votre catégorie socio-professionnelle et autres informations personnelles croisées ensuite avec le reste des informations laissées ici et là. Est-ce que cela apporte réellement une information supplémentaire par rapport à l’usage de la carte bancaire, des réseaux sociaux et autres ? Cela dépend de chacun.

Il y a également un évident risque de discrimination du fait d’être vacciné ou non, testé ou non et malade ou non. Mais on dépasse ici le périmètre du pass sanitaire. Vaut-il mieux garder le certificat sur un papier ou bien l’importer dans l’application TousAntiCovid ? L’enregistrement dans une application installée sur un téléphone protégé par un chiffrement robuste est probablement plus prudente que l’impression d’un morceau de papier qui est toujours visible et peut être égaré. Cela dépend encore une fois des usages de chacun.

Dernier point : la fameuse web app CovidPass qui permet d’ajouter le certificat à l’application Wallet dont nous avons déjà parlé à sa sortie a un peu évolué. Aujourd’hui, on peut générer un certificat depuis son propre serveur via Docker et on peut utiliser son propre compte développeur Apple pour la signature numérique du pass. À l’installation du pass dans Wallet, la signature de ce dernier est vérifiée par mesure de sécurité, comme pour une app.

Ensuite, le tout reste hors ligne. Il faut bien penser à bloquer l’accès à Wallet avec un code ou Touch ID/Face ID comme nous l’avions déjà précisé (Réglages > Face ID et code > Wallet). Par défaut, il n'y a pas de protection, ce qui signifie que quiconque a votre iPhone peut consulter votre pass. Concernant la protection des données dans Wallet, il y a un chiffrement géré par le système comme pour toute application. Mais le niveau de sécurité sera probablement inférieur à celui de TousAntiCovid, car Wallet est initialement prévu pour des usages tels que les billets d’avion qui contiennent des données moins sensibles.

Un choix personnel

Compte-tenu des informations à disposition et des connaissances actuelles sur le sujet, il n’y a pas spécialement lieu de s’inquiéter concernant les codes QR dans les lieux public. Il est bien plus prudent de scanner et garder sur son appareil un code plutôt que de laisser ses coordonnées sur un carnet à la vue de tout le monde.

Pour ce qui est du pass sanitaire, la seule question est de savoir s’il est plus à l’abri dans votre smartphone chiffré et verrouillé ou bien caché dans votre poche. Pour le reste, on n’a pas spécialement le choix si on souhaite se rendre dans un lieu concerné par les obligations de pass sanitaire. Cela semble très bien sécurisé, mais personne n’est à l’abri d’une faille. À partir de ces éléments, la balance bénéfice/risque est propre à chacun et reste un choix personnel.


avatar abalem | 

@Gilles Derval

…Pendant qu’ils prenaient l’avion pour Acapulco, faut être précis sinon on va encore croire que c’est de l’infox !

avatar moua | 

Et sinon la version papier c’est pareil pour ceux qui ont un Nokia 😆

avatar koko256 | 

Quelqu'un sait où trouver les specifications du QR code du pass sanitaire ? J'imagine que ce sont des données compressées et signées par l'une des clés d'un hôpital mais qu'il n'y a aucun chiffrement mais j'aimerais en avoir confirmation et aussi pouvoir lire la totalité des informations qui s'y trouvent.

avatar fredsoo | 

@koko256

Pas de chiffrement puisque n’importe quel app peut le lire… notamment Sanipass et la webapp dont on parle dans l’article.

avatar Maxmad68 | 

@fredsoo

C’est bien du chiffrement asymétrique: on peut facilement le lire, mais impossible (ou très dur) à générer.
Cf le lien que j’ai posté ci dessous qui explique bien (je trouve) le fonctionnement.

avatar koko256 | 

@Maxmad68

Attention c'est de la signature et non du chiffrement. Il y a plein d'erreurs sur Internet avec des noms incorrects ou imprécis.

avatar koko256 | 

@fredsoo

Il aurait pu y avoir un chiffrement avec un clé que seuls les développeurs d'appli officielle peuvent avoir (je crois que c'est le cas de la carte vitale). Cela aurait été stupide car un coup de reverse engineering aurait permis de trouver la clé mais ce n'aurait pas été le seul exemple de design stupide sur Internet.

avatar Maxmad68 | 

@koko256

Tiens, c’est assez bien expliqué ici:
https://twitter.com/gilbsgilbs/status/1409602942441648129?s=21

avatar Florent Morin | 

@koko256

C’est disponible en ligne.

https://ec.europa.eu/health/ehealth/covid-19_fr

avatar koko256 | 

@FloMo

Merci 🙏

avatar ClownWorld 🤡 | 

MacG le VRP du gouvernement, vous êtes une entreprise publique maintenant?

avatar Nonome77 | 

Sinon des news pour iPadOS 14.7 ?

avatar Stéphane Moussie | 
@Nonome77 : nope.
avatar Nonome77 | 

@stephmouss

Dommage…

avatar AKZ | 

Pour le coup je n’aime pas du tout le biais pris par l’auteur de l’article qui se permet d’affirmer que la version papier serait moins sécurisée !
« Il est bien plus prudent de scanner et garder sur son appareil un code plutôt que de laisser ses coordonnées sur un carnet à la vue de tout le monde »
Entre une information qui existe sur un bout de papier et une donnée présente sur des smartphones piratables en masse (coucou Pegasus) et qui pourraient potentiellement être assemblées et diffusées, le risque n’est pas comparable et il ne faut pas prendre tous vos lecteurs pour des jambons.

avatar Gilles Derval | 

@AKZ

Je pense la même chose, le papier est plus sécurisant car ils ne peuvent pas rentrer dans le privé comme dans ton iPhone ; et je ne perds jamais mes papiers………

avatar Florent Morin | 

@AKZ

Le cahier de rappel papier n’a pas besoin d’être piraté pour obtenir les coordonnées.

Donc c’est moins sécurisé.

avatar DG33 | 

@FloMo

Ça fait quand même un sacré boulot pour déchiffrer nos pattes de mouches sur le carnet papier de la pizzeria du coin, sans compter les bavures à cause de la solution hydroalcoolique…
Et la portée est limitée.
Bon, OK, c’est sans doute plus rémunérateur pour Burger King de voler le carnet de McDo, et d’envoyer ensuite des promotions par SMS…
Mais la portée reste aussi très limitée.
Quant au carnet d’un restau étoilé il suffit d’acheter un Who’s Who…

avatar Florent Morin | 

@DG33

Une photo et c’est fait. D’autant qu’on sort le smartphone quand on scanne le QR code. Ce n’est pas suspect.

Plusieurs ont déjà reçu des alertes Google de tentative d’accès à leur boîte mail.

Exemple :
Joseph né le 12 mars 1958 utilise probablement le mot de passe « Joseph1958 ».
Le mot de passe ne fonctionne pas ? On envoie un lien de « réinitialisation » par SMS alertant d’une tentative de piratage et qui renvoie vers une fausse page Google qui va capter le mot de passe et rediriger ensuite vers Google. À la limite, on peut même demander la date de naissance pour réinitialiser, ce qui rend le processus plus convaincant.

avatar Bigdidou | 

@FloMo

« Joseph né le 12 mars 1958 utilise probablement le mot de passe « Joseph1958 ». « 

S’il est malin, il utilisera Staline58, mais bon…

avatar Florent Morin | 

@Bigdidou

Excellent 😂

avatar AKZ | 

Je ne comprends pas cette réponse : un bout papier dans ta poche, qui va vouloir pirater ça ?
Un pickpocket qui s’intéresse à ces données sensibles ?
Alors que les données informatiques peuvent être piratées tant qu’elles existent par des robots ou des virus qui font ça en masse.

avatar lmouillart | 

Un papier laissé dans un sac a main, dans un tiroir du bureau est lisible immédiatement et par n'importe qui. Si c'est stocké dans un mobile il faut déjà passer la barrière de l'authentification faible ou forte.
Si votre téléphone à été infecté par un malware, donnant un accès total aux données, je ne suis pas certain que la problématique la plus importante soit celle qui concernerait un accès aux données contenues dans le QR code du passe sanitaire VS données bancaires, données d'assurances, données d'assurance maladie, de complémentaire santée, ...

avatar daxr1der | 

@AKZ

C’est devenu n’importe quoi Mac G à la botte de la Macronie. Je vois pas le rapport avec Apple en plus. Puisque Mac G ne veut pas parler de crypto monnaie sous prétexte qui a pas de rapport avec Apple. Or il y a bien des appli sur l’app store, comme l’appli tous anti covid…

avatar Bigdidou | 

@daxr1der

« Puisque Mac G ne veut pas parler de crypto monnaie sous prétexte qui a pas de rapport avec Apple. »

Concernant ce sujet très pointu et qui intéresse un microcosme que sont les cryptomonnaies, c’est plutôt un bon argument.

avatar Steve Molle | 

@Bigdidou

Il ne doit pas connaître les grilles de l’hôpital public le pauvre ….

avatar sacha003 | 

Il faut noter que le code source de l’application TousAntiCovid est publique. C’est un gage de transparence non ? 🧐

avatar fredsoo | 

@sacha003

Apparemment non pas l’intégralité du code , seuls des morceaux….

avatar jcp25 | 

Bon, pour le passe sanitaire, il y a la solution "low tech"
Impression du papier EU à 30%
Decouper le QR code européen (tout petit)
Le coller sur une cartonette et le mettre au verso de sa pièce d'identité.
On montre le verso de la carte d'identité avec le code QR. Le code est scanné. Le nom apparaît et on retourne pour montrer le recto de la carte d'identité.
Seul le recto de la CI doit être présenté.
Simple, rapide et sûr !
🐾🐾🐾🐈🐈🐈

avatar dorninem | 

@jcp25

Top!
Un peu comme la manière rapide de transformer un smartphone (ou un mobile assez grand) en paiement sans contact apple ou Google pay😎 --> mettre une cb sans contact au dos sous la coque et hop 🥳😎

avatar DG33 | 

@dorninem

Limité à 50€ 😉
Mais qu’est-ce que j’ai pu duper comme monde en planquant ma CB ainsi 🤣

avatar Link1993 | 

@jcp25

J'aime !

avatar jcp25 | 

@Link1993

Merci.

Comme il faudra toujours présenter la carte d'identité, on fait d'une pierre deux coups et c'est tellement low tech que l'on ne peut plus dire "à oui, mais le mossad va savoir si je suis vacciné... Et si j'ai plus de batterie... Et si cela activait les nano particules etc"
🤪🤪🤪

avatar Link1993 | 

@jcp25

Le mieux aurait encore été qu'il n'y ai pas de passe, mais bon, faut que la vaccination soit obligatoire en contrepartie. Et y'a le temps de transition pour atteindre la vaccination totale.

avatar jcp25 | 

@Link1993

Oui, tout à fait.
Et dans le meilleur des cas, il faudrait six mois pour que tout le monde soit complètement vacciné. Et je pense que le pass est la moins mauvaise solution.
Et recommencer un confinement comme en mars 2020... Pas génial, génial. On commence à en avoir tous par dessus la tête !
🤪🤪🤪🐾🐾🐾🐈🐈🐈

avatar Paquito06 | 

@jcp25

“Et dans le meilleur des cas, il faudrait six mois pour que tout le monde soit complètement vacciné.”

Et encore.
A titre informatif, ca vaccine aux US depuis mi-decembre (donc 7 mois). On est a 50% de vaccinés (2 doses) en moyenne nationale.
A SF, où c’est pris tres au serieux, le taux est a 76%.
Si toutefois un pays comme la France parvient a faire vacciner sa population (en dépis de l’efficacite par rapport aux variants type delta), ca prendra encore de nombreuxxxxxxxxx mois.

avatar Bigdidou | 

@Paquito06

« ca prendra encore de nombreuxxxxxxxxx mois. »

Oui, c’est sûr.
Ne serait-ce que par le délai nécessaire entre les deux injections.
Après, les centres de vaccination en France ont tourné à vide quelques semaines avant les dernières annonces concernant le pass sanitaire (et il n’était pas difficile de les prévoir).

Les gens qui ont foutu en l’air leurs vacances faute de pouvoir se vacciner avant septembre ne peuvent s’en prendre qu’à eux elle, bien souvent.

avatar Paquito06 | 

@Bigdidou

"« ca prendra encore de nombreuxxxxxxxxx mois. »
Oui, c’est sûr.
Ne serait-ce que par le délai nécessaire entre les deux injections.
Après, les centres de vaccination en France ont tourné à vide quelques semaines avant les dernières annonces concernant le pass sanitaire (et il n’était pas difficile de les prévoir).
Les gens qui ont foutu en l’air leurs vacances faute de pouvoir se vacciner avant septembre ne peuvent s’en prendre qu’à eux elle, bien souvent."

Oui, je comprends. Aussi, j’ignore comment ca fonctionne exactement au niveau de l’organisation, mais j’ai souvent lu a droite a gauche d’un coté des centres de vaccination vides, sans patient, et d’un autre coté des gens qui galeraient a trouver un centre (ou une place pour se faire vacciner), avant meme les annonces du President semaine derniere 😩 Quel bordel j’vous jure, ah c’est un monde!

avatar Steve Molle | 

[Modéré]

avatar jujulec | 

"...Y’a des professeurs en génétique moléculaire 🧬 qui ont déclaré que ce n’était pas exclu..."
et puis "y'a" aussi des sommités de tous poils qui prétendent que c'est impossible.
Quand on entend tout et son contraire, je sais au moins une chose... c'est qu'on n'en sait rien !

avatar JONYBLAZ | 

Comment nous tracé comme des bestiaux, elle est belle la liberté

avatar Angusalex | 

@JONYBLAZ

C’est à dire ?
Ça m’intéresse de savoir comment, peux-tu développer ?

P.s: tu es bien plus tracer avec internet fb ig ou même juste ton Fai etc qu’avec TousAntiCovid qui est en open source ou même le vaccin par je ne sais qu’elle fantaisie

avatar RolandJDXI | 

[Modéré]

avatar Steve Molle | 

Donc en gros, macg nous dit que l’Etat via le pass sanitaire ne peut recouper, croiser des données techniques ou personnels permettant par exemple de savoir avec qui j’ai pu déjeuner un jour J ?

Vous l’affirmez ?

avatar Florent Morin | 

@Steve Molle

Pas via le pass sanitaire. Mais via le QR Code scanné à l’entrée.
C’est différent.

Via le QR Code scanné, il n’y a qu’un identifiant stocké dans un emplacement chiffré. Il suffit de jailbreaker un iPhone pour le vérifier : c’est illisible.
Et ça ne part sur les serveurs que si on se déclare malade.

Pour le pass sanitaire, entre la version smartphone et la version papier, la version smartphone peut être plus sécurisée. Sauf si on a un moyen de cacher très fort et ne pas égarer la version papier. Après, c’est un choix personnel.

Mais au final, le pass sanitaire papier ou smartphone passe est scanné via le même outil. D’où la nuance concernant le pass sanitaire.

avatar TiTwo102 | 

CovidPass est risqué ou non ? Pour le commun des mortel je parle, c’est à dire sans passer par son propre serveur ou je ne sais quoi.

C’est quand même fou qu’on ne puisse pas créer simplement une carte dans Wallet. Cette app a vraiment besoin d’une grosse, très grosse, évolution.

avatar Florent Morin | 

Pour CovidPass, c'est une question de confiance.

Ils fournissent tout le code en open-source et font en sorte d'effectuer un maximum de traitements dans le navigateur.

Personnellement, je suis passé la première fois par le site CovidPass car je ne vois pas spécialement comment ils pourraient faire mieux. (puis j'ai testé via mon propre serveur)

On leur transmet quand même nos informations personnelles le temps de signer les données. Ils peuvent très bien avoir un serveur différent du serveur open-source s'ils sont malveillants. Mais je ne pense pas.

avatar PierreBondurant | 

Titre le plus grotesque de 2021 ! “Pass sanitaire: ça passe pour la vie privée”
La fin du secret médical (pass sanitaire) et la création des bases d’une identification biologique de l’individu (l’étape d’après, une fois que les moutons auront accepté docilement le pass sanitaire) c’est top pour la vie privée !!!!!!

avatar Steve Molle | 

@PierreBondurant

Vous l’avez cherché en laissant lrem mener une politique autoritaire et liberticide.

avatar PierreBondurant | 

@Steve Molle

Je suis résident au Royaume-Uni et pas franchement LREM

Pages

CONNEXION UTILISATEUR