IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Fausse bonne nouvelle : le code source de TousAntiCovid Verif publié, mais... il est incomplet et pire encore, sous licence propriétaire

Le , par Michael Guilloux

894PARTAGES

21  1 
Dans une tentative de calmer les critiques sur le manque de transparence et les éventuels problèmes de sécurité de TousAntiCovid-Verif, IN Groupe a annoncé la publication du code source de l'application mobile de vérification des passes sanitaires. Mais il y a un problème : le code source est incomplet et pire encore, il est sous licence propriétaire, un cocktail parfait pour rendre furieuses bon nombre de personnes.

IN Groupe ne fera pas mieux que ce qu'il en était il y a un an pour StopCovid, le prédécesseur de TousAntiCovid. Après plusieurs mois d'attente injustifiée, il a enfin répondu à la demande de la CNIL de publier le code source de TousAntiCovid Verif. Mais « encore une fois, ils jouent la carte de la comédie sécuritaire burlesque », s'insurge un internaute dans une série de tweets. « Une déception pour ceux qui s'attendaient à une vraie démarche open source et transparente », estime ce dernier.


Adoptant l'attitude des partisans de la sécurité par l'obscurité (paradigme de sécurité propre aux éditeurs de logiciels propriétaires), IN Groupe explique en effet dès le début qu'ils ont publié uniquement certaines parties du code source pour des raisons de sécurité : « Le code publié contient l'ensemble des règles de gestion des modes lite et détaillé. Les éléments de code relatifs à l'activation du mode étendu sont volontairement omis de cette publication pour des raisons de sécurité », lit-on dans le dépôt GitLab de l'application TousAntiCovid-Verif.

Les raisons de sécurité en question ne sont pas explicitées, « mais elles sont de toute façon ridicules », poursuit l'internaute dans sa série de tweets, estimant que n'importe qui peut lire toutes les données du QR Code du passe sanitaire ou activer le mode étendu sur TousAntiCovid Verif avec très peu de moyens et de connaissances. Il profite pour exposer les failles et les signes d'amateurisme de l'application : « N'importe qui peut créer un clone de TousAntiCovid Verif qui aspire les données des passes en tâche de fond. D'ailleurs, l'activation même du mode étendu n'a rien d'exceptionnellement dissimulé : il suffit de scanner un QR Code qui encode un JWT signé [par IN Groupe] », dit-il. « De plus, d'autres parties du code source sont caviardées sans raison, comme la clé publique qui permet de vérifier la signature des JWT d'activation du mode étendu, l'URL et le jeton d'accès à leur API. On peut retrouver ces valeurs en 5 minutes dans l'APK ».

Ce serait donc absurde qu'IN Groupe refuse de publier le code complet sous prétexte de ne pas vouloir mettre en péril la sécurité du système. N'y a-t-il pas de solutions plus efficaces que la sécurité par l'obscurité ? Il est aussi regrettable que le repo soit hébergé sur le GitLab de l'INRIA, qu'on ne puisse donc ouvrir des tickets que sur invitation et que les pull requests soient complètement fermées.

Comme si cela n'était pas suffisant, IN Groupe a publié le code source sous une licence propriétaire qui interdit notamment les forks et la redistribution des sources. « Une usine à gaz juridique plutôt qu'une licence simple, libre et transparente », estime l'internaute. Ce dernier « trouve par ailleurs assez cocasse (pour ne pas dire culotté) qu'ils demandent le respect d'une licence aussi complexe qu'absurde alors qu'eux-mêmes ne respectent pas les licences open source bien moins contraignantes des bibliothèques incluses dans TousAntiCovid Verif ».

Bref, la publication du code source de TousAntiCovid Verif est juste une fausse bonne nouvelle. Peut-on justifier le fait de publier un tel code partiellement et en plus sous licence propriétaire quand on sait qu'ailleurs, en Suisse par exemple, l'application similaire est entièrement libre et open source et que toutes les contributions extérieures sont acceptées ?

Sources : Twitter, Dépôt GitLab de l’INRIA

Et vous ?

Publier partiellement le code source de TousAntiCovid Verif et sous licence propriétaire, qu’en pensez-vous ?

Voir aussi :

L'UE s'apprête à dévoiler un portefeuille numérique adapté à la vie post-Covid pour permettre aux citoyens d'accéder aux services publics et privés en ligne
Covid-19 : accord trouvé sur le passe sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
L'adoption de l'IA par les entreprises en Europe accélérée par la COVID, mais seules 27 % l'ont effectivement déployé dans le cadre de leurs activités, selon IBM

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de escartefigue
Modérateur https://www.developpez.com
Le 05/08/2021 à 10:42
Citation Envoyé par setni Voir le message
Toute l'administration Française est une usine à gaz, donc rien de nouveau sous le soleil
J'ai le sentiment pour avoir passé toute ma carrière dans le privé, que les grandes entreprises privées n'ont rien à envier à l'administration sur ce chapitre.
Plutôt que tomber dans le stéréotype public/privé, je crois que c'est surtout la taille des organisations qui provoque les lourdeurs, les lenteurs et la complexité.
17  0 
Avatar de DannyK
Inactif https://www.developpez.com
Le 06/07/2022 à 23:46
Citation Envoyé par Madmac Voir le message
La vérité pourrait vous surprendre. Premièrement le virus a été créé de toute pièce. Et on ne peut plus parler du grand reset comme une simple conspiration.
Tellement vrai ... pendant que je garais ma soucoupe volante hier, les illuminatis me l'ont confirmés
19  5 
Avatar de Fagus
Membre chevronné https://www.developpez.com
Le 08/07/2022 à 13:44
Citation Envoyé par Steinvikel Voir le message
au final on se retrouve avec un développement qui pond une appli obscure, qui ne semble pas se limiter strictement à ce pour quoi elle est conçu, elle n'est pas obligatoire, elle ne profitera à personne d'autre dans le futur (le code est secret).
le code est secret ? Le dépôt ne serait pas là par hasard ? https://gitlab.inria.fr/stopcovid19/accueil

Il faut se souvenir que la plupart des pays ont délégué à Google et Apple le soin de créer ce service. Pour une fois que la France décide de ne pas confier la santé aux GAFAM, ET de mettre le code sur gitlab, je trouve ça cher payé de leur faire un procès d'intentions.

Le principal échec de cette application est que les gens ne l'ont pas installée, plus à mon humble avis pour des questions d'ordre sociologiques qu'informatiques. Il faut quand même se rappeler qu'à part ici, au moins 99% des gens ne s'est jamais posé la question d’auditer le code source de tous anti covid...
11  0 
Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 07/07/2022 à 8:54
Citation Envoyé par Madmac Voir le message
L'État et le secteur privé vont continuer à vous espionner. En combinant l'obligation de posséder la passe sanitaire à un téléphone cellulaire ont obtient l'équivalent du bracelet que l'on attache à la cheville des criminels.
Il n'y a jamais eu besoin d'installer l'appli - voire même d'un téléphone - pour utiliser le passe sanitaire... Il y avait juste besoin d'un QR code.
10  0 
Avatar de setni
Membre averti https://www.developpez.com
Le 04/08/2021 à 18:51
Une usine à gaz juridique plutôt qu'une licence simple, libre et transparente
Toute l'administration Française est une usine à gaz, donc rien de nouveau sous le soleil
12  3 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 11/08/2021 à 22:27
Citation Envoyé par floyer Voir le message
Les règles «*de bon sens*» ont été répétées et cela n’a pas empêché les conditions qui ont conduit au confinement de fin 2020. Si seulement cela suffisait !
Ne mélangeons pas les conséquences liées au COVID (augmentation des cas, etc.) et celles liées à la politique du gouvernement (confinement, etc.). Bon sens ou pas, le gouvernement a décidé du confinement. Ce dernier ne s'est pas imposé de lui-même suite au comportement de la population. D'autres pays on fait autrement.
9  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 06/07/2022 à 19:08
Maintenant que le covid touche à sa fin malgré un rebond épidémique, que vont faire l'Etat mais surtout les entreprises privées de toutes les données stockées ?
8  0 
Avatar de Jon Shannow
Membre extrêmement actif https://www.developpez.com
Le 08/07/2022 à 11:54
Citation Envoyé par OrthodoxWindows Voir le message
Je suis d'accord, la faible adoption vient plutôt de la peur du traçage. Peur qui devrait faire réfléchir les gens sur les fonctions de géolocalisation dont les smartphones sont pourvus.
Je ne pense pas que ce soit la peur du traçage qui soit en cause. D'abord parce que la majorité des gens ne savent même pas ce que c'est, ou s'en foute (hélas), mais plutôt le manque de confiance vis à vis de ce gouvernement qui n'a pas cessé de mentir sur cette crise sanitaire. C'est plus une sanction politique qu'un choix informatique.
Si les gens avaient peur du traçage, y a longtemps que Facebook, Google et autres Microsoft auraient coulés !
8  0 
Avatar de totozor
Membre chevronné https://www.developpez.com
Le 27/01/2023 à 15:34
En tant qu'administrateur d'un club de sport on m'a demandé de vérifier les pass de mes coéquipiers - ce que j'ai refusé de faire.
Mais j'ai testé les informations disponibles sur mon pass : en scannant le QR code l'application m'a donné mon nom, mon prénom et mon statut (vert/rouge)
puis j'ai cliqué sur détails et là j'ai été très surpris d'y découvrir la date, la ville et le centre de vaccination. Pourquoi tant d'informations?
En quoi tout ceci est nécessaire?
A qui est ce nécessaire?

Pour moi le QR code aurait du contenir 4 informations : Nom + prénom (pour m'identifier) + pays + date de vaccination (parce que fut un temps tout le monde ne suivait pas la même règle)
Et ce même QR code devait fournir 3 informations : Nom + prénom (pour qu'un flic puisse vérifier que c'est le mien) + statut (vert/rouge)
Tout le reste est soit une donnée personnelle inutile (donc protégée par le RGPD) soit une donnée médicale (donc sous secret médical).
7  0 
Avatar de BleAcheD
Membre confirmé https://www.developpez.com
Le 07/07/2022 à 15:25
Bien content d'avoir gardé un bout de papier plutôt que d'avoir installé cette appli
6  0