La vie revient progressivement en France avec l'arrivée de la troisième étape du déconfinement et l'entrée en vigueur du pass Sanitaire.
Intégré dans l'application TousAntiCovid, ce pass inclut désormais un carnet de tests et de vaccinations afin de montrer patte blanche à l'entrée de certains établissements. Il sera obligatoire dans certaines situations, comme les événements rassemblant plus de 1 000 personnes.
Intégré dans l'application TousAntiCovid, ce pass inclut désormais un carnet de tests et de vaccinations afin de montrer patte blanche à l'entrée de certains établissements. Il sera obligatoire dans certaines situations, comme les événements rassemblant plus de 1 000 personnes.
Le dispositif de pass sanitaire fait débat. La gestion des données des utilisateurs est mise en cause :
Cette application qui ne devait pas contenir de données personnelles vient donc de revenir très discrètement sur ses promesses en intégrant les QR codes distribués après la vaccination. D'après le gouvernement, ces codes contiennent uniquement des données relatives au vaccin ainsi que le nom, prénom et la date de naissance de la personne.
Le site Broken by Design explique que ceux-ci permettent en fait de déduire d'autres informations: le détenteur a-t-il eu besoin de plusieurs doses ? Fait-il partie des citoyens prioritaires pour la vaccination ? Ces informations sont disponibles en clair : elles ne sont pas chiffrées et donc accessibles à n'importe quelle personne équipée d'un lecteur basique de QR code.
Le problème principal vient de là : comment garder ses données protégées si n'importe qui peut les lire avec une app commune ?
Le gouvernement a tenté de répondre à ce problème grâce à TousAntiCovid Verif, une application pour le personnel chargé de vérifier les entrées. Le système a été annoncé comme sécurisé : si quelqu'un scanne votre QR code à l'entrée d'un concert de plus de 1 000 personnes par exemple, il ne reçoit qu'une information limitée (peut entrer/ ne peut pas entrer).
Mais, Il y a deux raisons principales pour lesquelles cette étape n'a pas de sens :
Cette application est disponible sur l'App Store et téléchargeable sans aucune vérification, donc c'est impossible de savoir si ce sont les bonnes personnes qui s'en servent. cette application se contente de cacher certaines données du QR code or d'autres applications basiques peuvent extraire plus de données du même document car rien n'est chiffré. À partir de là, une version spécifique pour les compagnies aériennes n'aurait pas de sens : les données les plus sensibles sont déjà récupérables avec d'autres applications grand public. Il s'agit d'une réponse à la polémique qui a enflé sur les réseaux sociaux, après la publication de tweets sur la protection des données du pass sanitaire. Mathis Harmel a réalisé du reverse engeneering sur le QR Code et a décelé un risque de découvrir plus d'informations que prévus. La faute est notamment liée à l'utilisation du format 2D-DOC. Une autre polémique, concernant l'implication des GAFAM a fait l'objet d'une précision par Achille Lerpinière, chef de division de l’aide à la décision de la direction générale de la santé, « des composants de Google ont été utilisés pour l’utilisation de TousAntiCovid Verif lors d’expérimentations, puis débranchés dans les mises à jour des applications à ce jour ».
Les personnes préoccupées par cette application ont justifié en conférence de presse la sécurité de cette application, expliquant les détails de sa programmation :
Les personnes préoccupées par cette application ont justifié en conférence de presse la sécurité de cette application, expliquant les détails de sa programmation :
TousAntiCovid Vérif avait en effet été développé avec des calculs sur serveurs. Cela ne devrait bientôt plus être le cas : une mise à jour permettra de tout faire en local « dans les prochains jours ». porte-parole a expliqué .
Donc une prochaine mise à jour devrait régler cette question et apporter une sécurité supplémentaire concernant les données de chacun contenues dans les QR Codes des certificats de vaccination.