IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Application TousAntiCovid et Pass sanitaire : les informations personnelles et médicales sont disponibles en clair
Prévient Christian Quest

Le , par Stéphane le calme

100PARTAGES

17  1 
Mercredi 9 juin, la France va passer à une nouvelle phase du déconfinement, notamment avec la réouverture totale des bars, cafés et des restaurants, mais aussi des salles de sport et des stades. Les entreprises retrouveront une certaine marge de manœuvre au sujet du nombre minimum de jours de télétravail par semaine, comme l'a indiqué Élisabeth Borne, ministre du Travail, de l’Emploi et de l’Insertion annonçant la fin du télétravail à 100 %. Pour sa part, l’heure du couvre-feu sera repoussée à 23 heures, au lieu de 21 heures.

La Direction de l'information légale et administrative (Premier ministre) a annoncé « qu'à compter du 9 juin 2021, un pass sanitaire sera mis en place de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination. Il ne sera pas obligatoire et ne sera pas nécessaire pour toutes les activités relevant de la vie quotidienne : lieu de travail, grandes surfaces, services publics ou encore restaurants et cinémas. Il sera exigé pour participer à des événements accueillant plus de 1 000 personnes où le brassage du public est plus à risque au plan sanitaire : grandes salles de spectacle, événements sportifs ou culturels, festivals, foires et salons... ».

Dans cette optique, l'application TousAntiCovid dispose d’un carnet des tests et vaccinations, qui pourront servir dans le cadre des pass sanitaires. Pour mémoire, en avril, une fonctionnalité a été ajoutée à l'application de suivi des contacts TousAntiCovid. Appelée TousAntiCovid-Carnet, cette dernière vous permet d'ajouter les résultats de vos tests PCR et antigéniques dans l'application pour les présenter à un tiers. Elle permet également d'ajouter la preuve de votre vaccination, notamment votre certificat de vaccination, ce qui vous permettra de prendre l'avion ou d'aller à l'étranger.

Christian Quest (porte-parole d’OpenStreetMap France, entre autres), note que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».

Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées.

À ce propos, en rappelant que les données doivent « être limitées à ce qui est nécessaire (principe de minimisation) », la CNIL avait prévenu en avril que la nouvelle fonctionnalité TousAntiCovid-Carnet doit notamment respecter les garanties suivantes :
  • l’utilisateur doit pouvoir en garder le contrôle ;
  • le certificat doit être accessible également au format papier ;
  • les données doivent être exactes, certifiées par une autorité et leur intégrité doit être garantie ;
  • les données contenues dans le certificat doivent être limitées à ce qui est nécessaire (principe de minimisation) ;
  • les autorités qui vérifieront le Datamatrix ne doivent pas avoir accès aux données de santé qui ont permis sa délivrance et ne doivent, en aucun cas, générer la création d’une base centralisée de données ;
  • des mesures de sécurité doivent être apportées (données chiffrées, intégrité vérifiée, audits des systèmes d’information, etc.).

Un risque accru de vol d'identité

Dans un billet intitulé « Pass sanitaire et vie privée : quels sont les risques ? » publié sur Broken By Design, Florian Maury et Piotr Chmielnicki ont tenté de mettre la lumière sur le pass sanitaire. Ce document « vise à mettre au jour de fausses informations diffusées par certains membres du gouvernement, à expliquer et à illustrer pourquoi le pass sanitaire, tel qu’il est conçu, met en danger la vie privée, mais aussi des données médicales des citoyens. En outre, il accroit le risque de vol d’identité ».

« Le pass sanitaire est présenté sous la forme d’un code-barre en deux dimensions, appelé datamatrix. Ce code barre, comme son nom l’indique, encode des informations. Il est en cela similaire aux codes barres des produits que vous achetez en grande surface, et que vous passez à la caisse. Il est juste en deux dimensions et contient plus d’information. Au lieu d’un numéro qui sert à indiquer à la caisse enregistreuse la nature du produit que vous achetez, ce qui lui sert à connaitre le prix à imputer, le code-barre du pass sanitaire contient vos informations personnelles et des informations relatives à la vaccination. L’encodage de ces informations ne constitue pas une mesure de protection des données puisque n’importe qui équipé d’un dispositif de lecture de code-barres peut acquérir les données qui ont été encodées. Le pass sanitaire ne fait pas exception.

« D’après le site Service Public.fr, le pass sanitaire contient les informations suivantes :
  • nom, prénom ;
  • date de naissance ;
  • type de certificat et résultat éventuel (test PCR ou antigénique ou vaccination première et seconde dose) ;
  • type de vaccin le cas échéant ;
  • date et heure du certificat.
  • Le site gouvernement.fr indique la même liste.

« Nous avons analysé le contenu du pass sanitaire, à l’aide d’outils grands publics, trouvables sur n’importe quel Store d’applications, comme le Google Play Store ou l’Apple Store. Par exemple, Barcode Scanner de ZXing Team sur le Google Play Store.

« Nous affirmons que la liste dressée par les sites gouvernmentaux est incomplète.

Le pass est composé de 3 types d’informations :
  • des informations techniques, qui permettent de vérifier l’authenticité du pass sanitaire ; on y retrouve des informations sur l’émetteur du pass sanitaire, ainsi que la date d’émission, et le sceau d’authenticité (une signature numérique) ;
  • des informations personnelles : nom, prénom et date de naissance ;
  • des informations de santé : le type de molécule injectée, le nom du vaccin reçu, le nombre de doses reçues, la date de vaccination et si ce nombre est suffisant pour être protégé de manière optimale pour la personne vaccinée.



« Au-delà de ces informations de santé, il est également possible d’inférer des informations de santé encore plus privées sur certains citoyens : ont-ils déjà été infectés par la COVID-19 (besoin que d’une seule dose) ? Sont-ils immunodéprimés (besoin de trois doses) ? Sont-ils parmi les citoyens prioritaires pour recevoir des injections tôt dans le calendrier vaccinal ?

« Ces informations dépassent largement le cadre et la finalité du pass sanitaire ».

Qu'en est-il du code QR ?

En janvier, dans un document édité par le Comité de contrôle et de liaison covid-19 (CCL-Covid), chargé de conseiller le gouvernement sur les dispositifs numériques de lutte contre la pandémie, il était prévu une nouvelle fonctionnalité à l’application française TousAntiCovid : l’utilisation de codes QR comme dispositif de traçage des contacts. Ils seraient placés à l’entrée des lieux clos, comme les restaurants et les transports en commun.

CCL-Covid a expliqué que « de manière simplifiée, un code QR sera positionné à l’entrée de certains lieux à risque (liste des lieux en cours d’identification en lien avec SPF [Santé publique France, NDLR]). La personne flashe ce code (il suffit donc d’un téléphone avec appareil photo) et fait ainsi un check-in à la date ‘d’ pour une durée ‘t’ dépendant du type de lieu. Si une personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, la personne ci-avant reçoit une notification de contact warning, dit à ‘risque modéré‘ (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors la personne reçoit une notification classique de contact tracing à ‘risque élevé’. »

Aussi, en plus du 2D-DOC, un QR-Code « classique » est présent sur les attestations de vaccination. Là encore, il est lisible par n’importe qui et contient un lien de la forme :

https://bonjour.tousanticovid.gouv.fr/app/wallet?v=DxxxxxxxCette URL contient l’ensemble des informations du 2D-DOC (après le wallet?v=), sans protection particulière. Sur Twitter, le compte TousAntiCovid explique : « L'ajout d'un QR Code sur le document permet notamment un scan simplifié avec de nombreux smartphones sans ouvrir immédiatement l'application TousAntiCovid. Le Deeplink qu'il contient offre également plus de liberté pour l'intégrer dans certains services web ».


Et TousAntiCovid-Verif, le système de vérification à l'intention de certains professionnels ?

TousAntiCovid-Carnet s’inscrit dans la stratégie du passe sanitaire, qui sera obligatoire dans certaines situations, à commencer par les événements qui rassemblent plus de 1 000 personnes. Il est aussi prévu un système permettant de vérifier l’authenticité des justificatifs qui sont contenus dans cette rubrique, ou qui sont présentés sur une feuille de papier.

Ce système consiste en une autre application, appelée TousAntiCovid-Verif, qui n’est pas à destination du public, mais de certains professionnels (comme les compagnies aériennes, pour vérifier la validité des documents sanitaires avant l’embarquement et déterminer si vous pouvez effectivement voyager).

Même si elle est réservée à certaines personnes et services autorisés (un usager lambda n'a pas le droit de s'en servir), dans les faits, il n’est pas dit que des usages inappropriés surviennent. Il est difficile de s’assurer que seules les bonnes personnes s’en servent, malgré un rappel des sanctions possibles.

Concernant ces personnes habilitées, Cédric O a indiqué au Parisien qu'elles ne « sauront que le nom, le prénom et la date de naissance de la personne concernée ». Ce sont effectivement les seules informations affichées par TousAntiCovid Verif, mais uniquement, parce que l’application « cache » le reste. Cela n’empêche pas une personne utilisant une autre application d'y accéder sans peine.

« Pour les compagnies aériennes, il y aura une version spécifique, car elles ont obligation d’avoir accès au contenu détaillé, avec la date de vaccination, le type de vaccination, etc. Elles pourront la télécharger sur les stores, avec un contrôle d’accès par identifiant », ajoutait Cédric O. Comme nous venons de le voir, une telle distinction n'a pas vraiment de sens puisque n’importe qui peut accéder au même niveau d'information.

Christian Quest propose une alternative pour protéger les données des utilisateurs : « Plutôt que d’indiquer en clair nom, prénom et date de naissance, utiles pour vérifier quand c’est nécessaire la correspondance avec une pièce d’identité, on aurait pu stocker une empreinte de ces informations (un hash) dans le 2D-DOC », comme c’est le cas avec les mots de passe par exemple.

De plus, « la partie données de santé aurait pu être chiffrée, et donc accessible si besoin uniquement aux détenteurs d’une clé de déchiffrement dont l’accès aurait pu être sécurisé », comme dans le cas des compagnies aériennes ainsi que l’indiquait le secrétaire d'État chargé de la Transition numérique.

Sources : Service Public, CNIL, Broken By Design, Christian Quest

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 09/06/2021 à 20:48
Citation Envoyé par Stéphane le calme Voir le message
Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises.
Des doutes...
Des doutes ?
Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
Elle se fout de qui là, la CNIL ?

Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !

Citation Envoyé par Stéphane le calme Voir le message
Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes
C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.

Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
10  1 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 08/06/2021 à 13:20
Citation Envoyé par AoCannaille Voir le message
Je comprends même pas que des devs acceptent ce genre de specs... Ya vraiment des têtes qui méritent du tomber, autant du côté des décideurs que du côté des devs immoraux qui acceptent ce genre de chose...
Si on affirme aux devs qu'ils ont à charge de structurer la donnée et que la partie protection est assurée par une autre équipe (potentiellement inexistente ou pas encore opérationelle), on arrive vite à une situation involontaire de la part des devs.

Ce sont en premier lieu les décideurs qui doivent tomber, ne serait-ce que parce qu'ils n'ont pas pris la mesure de leur incompétence technique à ne pas mettre dans la boucle les devs comme il se doit. La responsabilité n'incombe aux devs que s'ils ont effectivement participé au processus de décision (et donc être sanctionné en tant que décideur aussi).
7  2 
Avatar de AoCannaille
Membre expert https://www.developpez.com
Le 10/06/2021 à 9:33
Citation Envoyé par DevTroglodyte Voir le message
[...]ce pass n'est pas basé sur de l'idéologie, mais sur des faits scientifiques. [...]
Les ségrégations décrites précédemment ont toutes en leur temps été justifiées scientifiquement.
3  0 
Avatar de AoCannaille
Membre expert https://www.developpez.com
Le 07/06/2021 à 18:30
Je comprends même pas que des devs acceptent ce genre de specs... Ya vraiment des têtes qui méritent du tomber, autant du côté des décideurs que du côté des devs immoraux qui acceptent ce genre de chose...
5  3 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 07/06/2021 à 20:21
Pourquoi est-ce que je ne suis même plus étonné?

Pour moi, ce genre de choses montrent clairement où les responsables mettent les priorités. Disons-le franchement: notre sécurité et celle de nos données ils s'en tapent complètement. Ce qui compte pour eux, c'est la collecte, le traçage, l'identification.

Le Deeplink qu'il contient offre également plus de liberté pour l'intégrer dans certains services web
C'est marrant ces éléments de langage. Un truc qu'on veut nous forcer à utiliser mais qui "offre plus de liberté"
4  2 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 09/06/2021 à 21:27
Citation Envoyé par Matthieu Vergne Voir le message
Des doutes...
Des doutes ?
Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
Elle se fout de qui là, la CNIL ?
Elle se fout de nous, comme tous les autres!

Citation Envoyé par Matthieu Vergne Voir le message
C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.
C'est une preuve de plus que la sécurité de données, le gouvernement s'en taponne.

Citation Envoyé par Matthieu Vergne Voir le message
Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
Gouvernement d'escrocs, oui. Ils sont très compétents pour escroquer les Français, comme leurs prédécesseurs.
3  1 
Avatar de tanaka59
Expert confirmé https://www.developpez.com
Le 09/06/2021 à 22:06
Bonjour,

Quand je lis "passe sanitaire" , j'ai l'impression qu'on parle de :

> l'étoile jaune des juifs
> la différence de couleur de peau (l'apartheid comme en Afrique du Sud)
> le crédit social comme en Chine

En gros celui qui n'est pas vacciné (a cause de n'importe facteur), ou qu'il l'est partiellement à moins de "droit" ... Cela s'appelle de la ségrégation médicale

---

Tiens bientôt on aura un passeport pour "humain de compagnie" :





---

Et les risques de fraudes ?
Déjà en cas de piratage d'un DMP ou d'un compte ameli ... l'usurpateur/fraudeur peut utiliser votre passeport vaccinal en votre nom ! Donc a accès à votre secret médical ...

Puis bon se "passeport" n'a rien d'anonyme ... Vu qu'on donne son nom et prénom dessus !

Donc tout à fait en terme de "sécurité des données" , c'est une vaste mascarde !



Citation Envoyé par Matthieu Vergne
Elle se fout de qui là, la CNIL ?

Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !
Citation Envoyé par kain_tn
Elle se fout de nous, comme tous les autres!
Encore une institution qui est plu à la page ...
3  1 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 10/06/2021 à 9:50
Citation Envoyé par DevTroglodyte Voir le message
Moui, mais non. Enfin, pas vraiment. Ca peut potentiellement entrainer des dérives (et vu nos gouvernants, c'est fort possible), mais pour le coup, ce pass n'est pas basé sur de l'idéologie, mais sur des faits scientifiques. Ca fait une sacrée différence. Là où ça serait de la ségrégation, c'est si le vaccin n'était pas accessibles à certaines catégories de population.
Oui mais non. Tout le monde n'est pas égal face aux virus.

Par exemple je l'ai choppé (probablement au bureau) début 2020 et si je n'avais pas fait de test, je ne l'aurai jamais su (aucun symptôme). Dès lors, je ne vois pas en quoi je devrais être forcé de me faire vacciner tous les 6 mois, alors que ce vaccin n'empêche pas la contagion mais rend asymptomatique: la preuve, en Suisse on a eu quelques cas de personnes âgées qui se sont contaminées entre elles malgré le fait d'avoir été entièrement vaccinées par exemple.

D'un autre côté, j'ai perdu ma tante deux jours après sa vaccination. Elle vivait pourtant isolée au fin fond de la campagne: il y avait peu de chances pour qu'elle l'attrape ou qu'elle contamine qui que ce soit. Mes parents, eux, sont vaccinés (c'est leur "choix", pas le mien) et pour le moment ils se portent bien.
J'ai bien fait les vaccins les plus courants, mais par exemple je ne me vaccine pas contre la grippe saisonnière, parce que je suis assez jeune pour y résister, que je ne tombe vraiment malade qu'une fois tous les 4-5 ans et que je reste chez moi quand ça arrive.

Là j'ai l'impression qu'on veut nous la faire à l'envers: d'un côté on a des hôpitaux surchargés même hors covid (70% officiellement pour la Suisse par exemple / 25% pour les urgences) pour lesquels on continue de diminuer les moyens (certains sont même "obligés" de recourir à des sociétés privées pour rendre "rentable" leur activité - comprendre facturer au malade et donc à la SECU des choses dont il n'a pas besoin), et dans le même temps on veut me forcer à verser de l'argent tous les six mois à des sociétés pharmaceutiques déjà ultrariches. Ça devient une redevance à ce niveau là, sur un "marché" qui représente des dizaines de milliards. Et cerise sur le gâteau, nos "dirigeants" profitent de la situation pour étendre le traçage individuel et la collecte de données privées. C'est quand même dingue!

Je n'ai pas oublié certains scandales comme le Mediator, le Crestor, etc, et je trouve que la gestion de cette "crise" laisse un peu trop de pouvoir à ces multinationales qui ne se montrent déjà pas dignes de confiance en temps "normal". Alors forcer les gens à consommer leurs produits tous les X mois, c'est un non pour moi - et tant pis si je ne peux plus voyager: je dépenserai moins mon argent.

On n'est plus tant dans la science que dans la consommation. Il faut se calmer deux minutes et arrêter d'accepter n'importe quoi. Si vous avez peur pour votre vie, vous avez un vaccin de disponible.

EDIT: au passage, l'affaire des dîners mondains de certaines de nos "élites" pendant le confinement en dit long sur ce qu'ils pensent de cette crise sanitaire.
3  2 
Avatar de TotoParis
Membre averti https://www.developpez.com
Le 10/06/2021 à 14:51
C'est l'aboutissement d'une gestion calamiteuse de bout en bout pour un virus dont la létalité n'est que très relative.
Ca fait cher payé le masque chirurgical à 5 cents d'euro fabriqué dans la Chine...infectée !
Mais regardez ce qui pourrait bien nous arriver : https://www.santemagazine.fr/actuali...ondiale-892769
2  1 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 10/06/2021 à 15:55
Citation Envoyé par Ryu2000 Voir le message
pas de masque, pas de certificat, pas de vaccin, pas de passeport vaccinal
Je crois que tu es optimiste... Les états ont pris goût au contrôle qu'ils nous ont imposés, d'où cette "urgence", sans doute, à mettre en place les passeports, les applications et tout leur bordel avant que ça ne soit terminé... Vous vous souvenez quand on nous vendait l'Europe (la CEE à l'époque) comme "c'est super, vous pourrez circuler librement sans douanes? La Liberté!"
1  0