IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Fausse bonne nouvelle : le code source de TousAntiCovid Verif publié, mais... il est incomplet et pire encore, sous licence propriétaire

Le , par Michael Guilloux

503PARTAGES

21  1 
Dans une tentative de calmer les critiques sur le manque de transparence et les éventuels problèmes de sécurité de TousAntiCovid-Verif, IN Groupe a annoncé la publication du code source de l'application mobile de vérification des passes sanitaires. Mais il y a un problème : le code source est incomplet et pire encore, il est sous licence propriétaire, un cocktail parfait pour rendre furieuses bon nombre de personnes.

IN Groupe ne fera pas mieux que ce qu'il en était il y a un an pour StopCovid, le prédécesseur de TousAntiCovid. Après plusieurs mois d'attente injustifiée, il a enfin répondu à la demande de la CNIL de publier le code source de TousAntiCovid Verif. Mais « encore une fois, ils jouent la carte de la comédie sécuritaire burlesque », s'insurge un internaute dans une série de tweets. « Une déception pour ceux qui s'attendaient à une vraie démarche open source et transparente », estime ce dernier.


Adoptant l'attitude des partisans de la sécurité par l'obscurité (paradigme de sécurité propre aux éditeurs de logiciels propriétaires), IN Groupe explique en effet dès le début qu'ils ont publié uniquement certaines parties du code source pour des raisons de sécurité : « Le code publié contient l'ensemble des règles de gestion des modes lite et détaillé. Les éléments de code relatifs à l'activation du mode étendu sont volontairement omis de cette publication pour des raisons de sécurité », lit-on dans le dépôt GitLab de l'application TousAntiCovid-Verif.

Les raisons de sécurité en question ne sont pas explicitées, « mais elles sont de toute façon ridicules », poursuit l'internaute dans sa série de tweets, estimant que n'importe qui peut lire toutes les données du QR Code du passe sanitaire ou activer le mode étendu sur TousAntiCovid Verif avec très peu de moyens et de connaissances. Il profite pour exposer les failles et les signes d'amateurisme de l'application : « N'importe qui peut créer un clone de TousAntiCovid Verif qui aspire les données des passes en tâche de fond. D'ailleurs, l'activation même du mode étendu n'a rien d'exceptionnellement dissimulé : il suffit de scanner un QR Code qui encode un JWT signé [par IN Groupe] », dit-il. « De plus, d'autres parties du code source sont caviardées sans raison, comme la clé publique qui permet de vérifier la signature des JWT d'activation du mode étendu, l'URL et le jeton d'accès à leur API. On peut retrouver ces valeurs en 5 minutes dans l'APK ».

Ce serait donc absurde qu'IN Groupe refuse de publier le code complet sous prétexte de ne pas vouloir mettre en péril la sécurité du système. N'y a-t-il pas de solutions plus efficaces que la sécurité par l'obscurité ? Il est aussi regrettable que le repo soit hébergé sur le GitLab de l'INRIA, qu'on ne puisse donc ouvrir des tickets que sur invitation et que les pull requests soient complètement fermées.

Comme si cela n'était pas suffisant, IN Groupe a publié le code source sous une licence propriétaire qui interdit notamment les forks et la redistribution des sources. « Une usine à gaz juridique plutôt qu'une licence simple, libre et transparente », estime l'internaute. Ce dernier « trouve par ailleurs assez cocasse (pour ne pas dire culotté) qu'ils demandent le respect d'une licence aussi complexe qu'absurde alors qu'eux-mêmes ne respectent pas les licences open source bien moins contraignantes des bibliothèques incluses dans TousAntiCovid Verif ».

Bref, la publication du code source de TousAntiCovid Verif est juste une fausse bonne nouvelle. Peut-on justifier le fait de publier un tel code partiellement et en plus sous licence propriétaire quand on sait qu'ailleurs, en Suisse par exemple, l'application similaire est entièrement libre et open source et que toutes les contributions extérieures sont acceptées ?

Sources : Twitter, Dépôt GitLab de l’INRIA

Et vous ?

Publier partiellement le code source de TousAntiCovid Verif et sous licence propriétaire, qu’en pensez-vous ?

Voir aussi :

L'UE s'apprête à dévoiler un portefeuille numérique adapté à la vie post-Covid pour permettre aux citoyens d'accéder aux services publics et privés en ligne
Covid-19 : accord trouvé sur le passe sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
L'adoption de l'IA par les entreprises en Europe accélérée par la COVID, mais seules 27 % l'ont effectivement déployé dans le cadre de leurs activités, selon IBM

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de escartefigue
Modérateur https://www.developpez.com
Le 05/08/2021 à 10:42
Citation Envoyé par setni Voir le message
Toute l'administration Française est une usine à gaz, donc rien de nouveau sous le soleil
J'ai le sentiment pour avoir passé toute ma carrière dans le privé, que les grandes entreprises privées n'ont rien à envier à l'administration sur ce chapitre.
Plutôt que tomber dans le stéréotype public/privé, je crois que c'est surtout la taille des organisations qui provoque les lourdeurs, les lenteurs et la complexité.
17  0 
Avatar de setni
Membre actif https://www.developpez.com
Le 04/08/2021 à 18:51
Une usine à gaz juridique plutôt qu'une licence simple, libre et transparente
Toute l'administration Française est une usine à gaz, donc rien de nouveau sous le soleil
12  3 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 11/08/2021 à 22:27
Citation Envoyé par floyer Voir le message
Les règles «*de bon sens*» ont été répétées et cela n’a pas empêché les conditions qui ont conduit au confinement de fin 2020. Si seulement cela suffisait !
Ne mélangeons pas les conséquences liées au COVID (augmentation des cas, etc.) et celles liées à la politique du gouvernement (confinement, etc.). Bon sens ou pas, le gouvernement a décidé du confinement. Ce dernier ne s'est pas imposé de lui-même suite au comportement de la population. D'autres pays on fait autrement.
9  0 
Avatar de floyer
Membre actif https://www.developpez.com
Le 05/08/2021 à 20:08
Difficile de faire des pronostics… on a d’un côté un variant delta plus contagieux (avec un taux de reproduction qui a atteint 2 alors qu’avant ce taux culminait à 1,5), mais d’un autre côté, une campagne de vaccination qui vise à diminuer ce taux…. L’un dans l’autre, bien malin qui pourra extrapoler d’ici quelques mois.
5  0 
Avatar de floyer
Membre actif https://www.developpez.com
Le 06/08/2021 à 14:57
Citation Envoyé par ddoumeche Voir le message
Et que leur seule proposition fut un confinement qui n'a eu aucun effet sur la courbe épidémique jusqu'à preuve du contraire.
On a les courbes ici : https://dashboard.covid19.data.gouv....s?location=FRA
On note bien un pic au 2/4/2020 et au 5/11… qui correspond à peu près au début des mesures de confinement. (Qui prennent un peu de temps à influer les chiffres compte tenu de la durée d’incubation).

Sinon, pour le discours rassurant des début, Raoult n’était effectivement pas le seul … https://twitter.com/rmcinfo/status/1...221696?lang=fr
6  1 
Avatar de ericb2
Membre actif https://www.developpez.com
Le 10/08/2021 à 9:28
Corrigez moi si je me trompe : c'est Microsoft qui s'occupe des donnée personnelles de santé des français ? (pour deux années encore)
5  0 
Avatar de tanaka59
Expert confirmé https://www.developpez.com
Le 11/08/2021 à 16:51
Bonjour,

Citation Envoyé par Olivier Famien Voir le message
Que pensez-vous des recommandations émises par la CNIL ;?
En Europe (et en particulier en France) la gestion de la crise du a été un véritable fiasco. Surtout d'un point de vu techno-bureaucratique-administratif ...

Essayer de tout faire rentrer dans des cases , des formulaires et j'en passe . Prendre les gens tels des enfants, des animaux ou des machines ... Si l'on a pas de réponse "binaire" on est le pire des criminels ...

Entre les recommandations et demander un bras ... les demandeurs prennent souvent "le bras".

Citation Envoyé par Olivier Famien Voir le message
Sont-elles pertinentes ;?
Blablabla , le temporaire deviendra permanent.

Pistage et suivi à tous les niveaux ... amendes de manières arbitraires " à la gueule de l'administré" .

Les recommandations de la CNIL dans le fond n'ont plus aucune valeurs car on a déjà ouvert la boite de pandore ...

Citation Envoyé par Olivier Famien Voir le message
Selon vous, quelle loi pourrait efficacement permettre de lutter contre la Covid-19 ;?
Aucune loi ... juste du bon sens .

Qui aurait imaginé un jour que puisse régir la vie de n'importe qui a coup d'attestation, de justificatif , de quarantaine , de passe sanitaire ?

Bientôt des lois pour savoir si on a le droit d'aller pisser et chier ? Des lois pour demander la carte vitale ou la carte d'handicapé pour exclure les handicapés et les cancéreux ?

Avis purement personnel , et pourtant je me doute bien que beaucoup pense la même chose tout bas ... Quarantaine = prison = garde à vu . Bientôt des lois liberticides pour la "sécurité" dans la cadre de vigpiratage ou l'on arrête le pekin moyen ? Juste par sécurité, car celui ci " a une gueule de suspicieux" plus qu'un autre ?

On nage en plein délire ...

---

Que cela plaise ou non, tout ces protocoles Covid vont devoir cesser un jour ou l'autre ... Même à un moment on a tellement ouvert le "boite de pandore" , que le mieux est encore de resquiller, tricher, frauder, prendre la poudre d'escampette avec toutes ces satanés mesures anti covid , hsitoire qu'on nous foute la paix.

Le pékin moyen ne peut plus vivre en "paix" sans devoir subir un discours "culpabilisateur" , "moralisateur" et de "bienpensance"

Qu'on face déjà avec le bon sens : masque, vaccination , désinfection, nettoyage, geste barrière.

Quand on parle de "dictature sanitaire" , c'est une "forme de dictature à l'européenne" en somme ...
6  1 
Avatar de Christian_B
Membre confirmé https://www.developpez.com
Le 06/08/2021 à 14:18
Citation Envoyé par TotoParis Voir le message
Tout d'abord cette vidéo déborde largement son sujet avec des considérations souvent pertinentes mais connues, voire banales, de politique générale (neutralisation du parlement, etc) qui pourraient être répétées à partir de n'importe quel thème politique actuel.

On note qu'aucune solution alternative aux restrictions concernant la restauration n'est proposée. En pratique on voit déjà dans les salles de spectacle que la vérification est assez simple (en pratique la carte d'identité n'est même pas demandée), la grosse aberration dans ce dernier cas étant le délai d'une semaine qui marque à nouveau le mépris de Macron pour la culture (sauf religieuse).

L'orientation politique propre à ce site ne se manifeste (assez prudemment) que vers la fin.

Ceci dit je ne fais aucune confiance à un site malhonnête qui se nomme "Front populaire" en contradiction flagrante, étant donné son orientation, avec la signification historique bien connue de cette expression.
En effet, non seulement il se dit "souverainiste" mais cite volontiers "Valeurs actuelles", journal proche de l'extrême-droite. Ce sont des options politiques radicalement opposées à l'esprit du Front populaire (1936+).
Il s'agit clairement de semer la confusion dans des esprits incultes concernant l'histoire politique.
7  3 
Avatar de Christian_B
Membre confirmé https://www.developpez.com
Le 06/08/2021 à 15:24
Citation Envoyé par tanaka59 Voir le message

Dans les nombreuses études sur les variants, elle ont pu très bien toutes (je dis bien toutes) , faire fausses routes .
Tous les variants sont en sommes aussi mortels et autant contagieux les uns que les autres .
Quelle peut-être la valeur d'une opinion qui rejette en bloc toutes les études sans essayer de comprendre sur quelles connaissances et démarches elles sont fondées et ce qui les différencie ? Elle ne repose par définition sur rien.
De plus elle n'est en rien une réponse à la citation donnée de floyer concernant la situation actuelle.
Illogique.
4  1 
Avatar de floyer
Membre actif https://www.developpez.com
Le 07/08/2021 à 15:48
Ce n’est pas parce que le taux de reproduction dépend d’une myriade de paramètres que l’on peut nier des différences de contagiosités entre variants. Pour un même ensemble de mesures, certains variants se répliqueront plus vite que d’autres et passeront donc de minoritaire à majoritaire. C’est ce qui les définit comme plus contagieux.
3  0