Fausse bonne nouvelle : le code source de TousAntiCovid Verif publié, mais... il est incomplet et pire encore, sous licence propriétaire
Le 2021-08-04 18:03:08, par Michael Guilloux, Chroniqueur Actualités
Dans une tentative de calmer les critiques sur le manque de transparence et les éventuels problèmes de sécurité de TousAntiCovid-Verif, IN Groupe a annoncé la publication du code source de l'application mobile de vérification des passes sanitaires. Mais il y a un problème : le code source est incomplet et pire encore, il est sous licence propriétaire, un cocktail parfait pour rendre furieuses bon nombre de personnes.
IN Groupe ne fera pas mieux que ce qu'il en était il y a un an pour StopCovid, le prédécesseur de TousAntiCovid. Après plusieurs mois d'attente injustifiée, il a enfin répondu à la demande de la CNIL de publier le code source de TousAntiCovid Verif. Mais « encore une fois, ils jouent la carte de la comédie sécuritaire burlesque », s'insurge un internaute dans une série de tweets. « Une déception pour ceux qui s'attendaient à une vraie démarche open source et transparente », estime ce dernier.
Adoptant l'attitude des partisans de la sécurité par l'obscurité (paradigme de sécurité propre aux éditeurs de logiciels propriétaires), IN Groupe explique en effet dès le début qu'ils ont publié uniquement certaines parties du code source pour des raisons de sécurité : « Le code publié contient l'ensemble des règles de gestion des modes lite et détaillé. Les éléments de code relatifs à l'activation du mode étendu sont volontairement omis de cette publication pour des raisons de sécurité », lit-on dans le dépôt GitLab de l'application TousAntiCovid-Verif.
Les raisons de sécurité en question ne sont pas explicitées, « mais elles sont de toute façon ridicules », poursuit l'internaute dans sa série de tweets, estimant que n'importe qui peut lire toutes les données du QR Code du passe sanitaire ou activer le mode étendu sur TousAntiCovid Verif avec très peu de moyens et de connaissances. Il profite pour exposer les failles et les signes d'amateurisme de l'application : « N'importe qui peut créer un clone de TousAntiCovid Verif qui aspire les données des passes en tâche de fond. D'ailleurs, l'activation même du mode étendu n'a rien d'exceptionnellement dissimulé : il suffit de scanner un QR Code qui encode un JWT signé [par IN Groupe] », dit-il. « De plus, d'autres parties du code source sont caviardées sans raison, comme la clé publique qui permet de vérifier la signature des JWT d'activation du mode étendu, l'URL et le jeton d'accès à leur API. On peut retrouver ces valeurs en 5 minutes dans l'APK ».
Ce serait donc absurde qu'IN Groupe refuse de publier le code complet sous prétexte de ne pas vouloir mettre en péril la sécurité du système. N'y a-t-il pas de solutions plus efficaces que la sécurité par l'obscurité ? Il est aussi regrettable que le repo soit hébergé sur le GitLab de l'INRIA, qu'on ne puisse donc ouvrir des tickets que sur invitation et que les pull requests soient complètement fermées.
Comme si cela n'était pas suffisant, IN Groupe a publié le code source sous une licence propriétaire qui interdit notamment les forks et la redistribution des sources. « Une usine à gaz juridique plutôt qu'une licence simple, libre et transparente », estime l'internaute. Ce dernier « trouve par ailleurs assez cocasse (pour ne pas dire culotté) qu'ils demandent le respect d'une licence aussi complexe qu'absurde alors qu'eux-mêmes ne respectent pas les licences open source bien moins contraignantes des bibliothèques incluses dans TousAntiCovid Verif ».
Bref, la publication du code source de TousAntiCovid Verif est juste une fausse bonne nouvelle. Peut-on justifier le fait de publier un tel code partiellement et en plus sous licence propriétaire quand on sait qu'ailleurs, en Suisse par exemple, l'application similaire est entièrement libre et open source et que toutes les contributions extérieures sont acceptées ?
Sources : Twitter, Dépôt GitLab de l’INRIA
Et vous ?
Publier partiellement le code source de TousAntiCovid Verif et sous licence propriétaire, qu’en pensez-vous ?
Voir aussi :
L'UE s'apprête à dévoiler un portefeuille numérique adapté à la vie post-Covid pour permettre aux citoyens d'accéder aux services publics et privés en ligne
Covid-19 : accord trouvé sur le passe sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
L'adoption de l'IA par les entreprises en Europe accélérée par la COVID, mais seules 27 % l'ont effectivement déployé dans le cadre de leurs activités, selon IBM
IN Groupe ne fera pas mieux que ce qu'il en était il y a un an pour StopCovid, le prédécesseur de TousAntiCovid. Après plusieurs mois d'attente injustifiée, il a enfin répondu à la demande de la CNIL de publier le code source de TousAntiCovid Verif. Mais « encore une fois, ils jouent la carte de la comédie sécuritaire burlesque », s'insurge un internaute dans une série de tweets. « Une déception pour ceux qui s'attendaient à une vraie démarche open source et transparente », estime ce dernier.
Adoptant l'attitude des partisans de la sécurité par l'obscurité (paradigme de sécurité propre aux éditeurs de logiciels propriétaires), IN Groupe explique en effet dès le début qu'ils ont publié uniquement certaines parties du code source pour des raisons de sécurité : « Le code publié contient l'ensemble des règles de gestion des modes lite et détaillé. Les éléments de code relatifs à l'activation du mode étendu sont volontairement omis de cette publication pour des raisons de sécurité », lit-on dans le dépôt GitLab de l'application TousAntiCovid-Verif.
Les raisons de sécurité en question ne sont pas explicitées, « mais elles sont de toute façon ridicules », poursuit l'internaute dans sa série de tweets, estimant que n'importe qui peut lire toutes les données du QR Code du passe sanitaire ou activer le mode étendu sur TousAntiCovid Verif avec très peu de moyens et de connaissances. Il profite pour exposer les failles et les signes d'amateurisme de l'application : « N'importe qui peut créer un clone de TousAntiCovid Verif qui aspire les données des passes en tâche de fond. D'ailleurs, l'activation même du mode étendu n'a rien d'exceptionnellement dissimulé : il suffit de scanner un QR Code qui encode un JWT signé [par IN Groupe] », dit-il. « De plus, d'autres parties du code source sont caviardées sans raison, comme la clé publique qui permet de vérifier la signature des JWT d'activation du mode étendu, l'URL et le jeton d'accès à leur API. On peut retrouver ces valeurs en 5 minutes dans l'APK ».
Ce serait donc absurde qu'IN Groupe refuse de publier le code complet sous prétexte de ne pas vouloir mettre en péril la sécurité du système. N'y a-t-il pas de solutions plus efficaces que la sécurité par l'obscurité ? Il est aussi regrettable que le repo soit hébergé sur le GitLab de l'INRIA, qu'on ne puisse donc ouvrir des tickets que sur invitation et que les pull requests soient complètement fermées.
Comme si cela n'était pas suffisant, IN Groupe a publié le code source sous une licence propriétaire qui interdit notamment les forks et la redistribution des sources. « Une usine à gaz juridique plutôt qu'une licence simple, libre et transparente », estime l'internaute. Ce dernier « trouve par ailleurs assez cocasse (pour ne pas dire culotté) qu'ils demandent le respect d'une licence aussi complexe qu'absurde alors qu'eux-mêmes ne respectent pas les licences open source bien moins contraignantes des bibliothèques incluses dans TousAntiCovid Verif ».
Bref, la publication du code source de TousAntiCovid Verif est juste une fausse bonne nouvelle. Peut-on justifier le fait de publier un tel code partiellement et en plus sous licence propriétaire quand on sait qu'ailleurs, en Suisse par exemple, l'application similaire est entièrement libre et open source et que toutes les contributions extérieures sont acceptées ?
Sources : Twitter, Dépôt GitLab de l’INRIA
Et vous ?
Voir aussi :
-
escartefigueModérateurJ'ai le sentiment pour avoir passé toute ma carrière dans le privé, que les grandes entreprises privées n'ont rien à envier à l'administration sur ce chapitre.
Plutôt que tomber dans le stéréotype public/privé, je crois que c'est surtout la taille des organisations qui provoque les lourdeurs, les lenteurs et la complexité.le 05/08/2021 à 10:42 -
DannyKInactifTellement vrai ... pendant que je garais ma soucoupe volante hier, les illuminatis me l'ont confirmésle 06/07/2022 à 23:46
-
FagusMembre expertle code est secret ? Le dépôt ne serait pas là par hasard ? https://gitlab.inria.fr/stopcovid19/accueil
Il faut se souvenir que la plupart des pays ont délégué à Google et Apple le soin de créer ce service. Pour une fois que la France décide de ne pas confier la santé aux GAFAM, ET de mettre le code sur gitlab, je trouve ça cher payé de leur faire un procès d'intentions.
Le principal échec de cette application est que les gens ne l'ont pas installée, plus à mon humble avis pour des questions d'ordre sociologiques qu'informatiques. Il faut quand même se rappeler qu'à part ici, au moins 99% des gens ne s'est jamais posé la question d’auditer le code source de tous anti covid...le 08/07/2022 à 13:44 -
setniMembre avertiUne usine à gaz juridique plutôt qu'une licence simple, libre et transparentele 04/08/2021 à 18:51
-
DevTroglodyteMembre extrêmement actifIl n'y a jamais eu besoin d'installer l'appli - voire même d'un téléphone - pour utiliser le passe sanitaire... Il y avait juste besoin d'un QR code.le 07/07/2022 à 8:54
-
Matthieu VergneExpert éminentNe mélangeons pas les conséquences liées au COVID (augmentation des cas, etc.) et celles liées à la politique du gouvernement (confinement, etc.). Bon sens ou pas, le gouvernement a décidé du confinement. Ce dernier ne s'est pas imposé de lui-même suite au comportement de la population. D'autres pays on fait autrement.le 11/08/2021 à 22:27
-
marsupialExpert éminentMaintenant que le covid touche à sa fin malgré un rebond épidémique, que vont faire l'Etat mais surtout les entreprises privées de toutes les données stockées ?le 06/07/2022 à 19:08
-
Jon ShannowMembre extrêmement actifJe ne pense pas que ce soit la peur du traçage qui soit en cause. D'abord parce que la majorité des gens ne savent même pas ce que c'est, ou s'en foute (hélas), mais plutôt le manque de confiance vis à vis de ce gouvernement qui n'a pas cessé de mentir sur cette crise sanitaire. C'est plus une sanction politique qu'un choix informatique.
Si les gens avaient peur du traçage, y a longtemps que Facebook, Google et autres Microsoft auraient coulés !le 08/07/2022 à 11:54 -
totozorMembre expertEn tant qu'administrateur d'un club de sport on m'a demandé de vérifier les pass de mes coéquipiers - ce que j'ai refusé de faire.
Mais j'ai testé les informations disponibles sur mon pass : en scannant le QR code l'application m'a donné mon nom, mon prénom et mon statut (vert/rouge)
puis j'ai cliqué sur détails et là j'ai été très surpris d'y découvrir la date, la ville et le centre de vaccination. Pourquoi tant d'informations?
En quoi tout ceci est nécessaire?
A qui est ce nécessaire?
Pour moi le QR code aurait du contenir 4 informations : Nom + prénom (pour m'identifier) + pays + date de vaccination (parce que fut un temps tout le monde ne suivait pas la même règle)
Et ce même QR code devait fournir 3 informations : Nom + prénom (pour qu'un flic puisse vérifier que c'est le mien) + statut (vert/rouge)
Tout le reste est soit une donnée personnelle inutile (donc protégée par le RGPD) soit une donnée médicale (donc sous secret médical).le 27/01/2023 à 15:34 -
BleAcheDMembre confirméBien content d'avoir gardé un bout de papier plutôt que d'avoir installé cette applile 07/07/2022 à 15:25