Comme vous le savez probablement, le pass sanitaire va rentrer en vigueur dès ce mercredi 9 juin 2021. Il permettra notamment « d’accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination ». Ce pass sanitaire, accessible directement depuis l’application TousAntiCovid, consiste à présenter au format numérique une preuve de non-contamination à la Covid-19 soit via une attestation de vaccination, la preuve d’un test négatif RT-PCR de moins de 48h ou bien un le résultat d’un test RT-PCR positive attestant du rétablissement de la maladie datant de moins de 6 mois.
Ce document pourra être présenté pour accéder à certains évènements grand public accueillant plus de 1000 personnes. Seulement, il y a de nombreux détails qui nous chagrinent avec ce pass sanitaire. En premier lieu, le QR-Code et 2D-DOC présents sur les certifications de vaccination contiennent vos données personnelles et médicales.
Problème, le tout est accessible en clair et lisible par n’importe qui en possession d’un lecteur de QR Code ou de datamatrix. Voilà pourquoi on vous déconseille d’ailleurs de pavaner sur les réseaux sociaux avec votre certificat, sous peine de vous faire voler vos données. Autre point, le gouvernement a toujours assuré que les autorités et les institutions qui vont contrôler ces passes sanitaires n’auront pas accès aux données de santé des utilisateurs. Encore une fois, c’est faux.
En voyant l'article de @FranceInter ce matin, je suis donc surpris d'apprendre que les personnes chargées de vérifier les certificats du pass sanitaire "ne sauront que le nom, le prénom et la date de naissance" alors que le QR fournit bien plus que ça.https://t.co/xj46yva3hd
— Mathis Hammel (@MathisHammel) May 27, 2021
En effet, pour vérifier les informations du public dans le cadre du pass sanitaire, les professionnels vont passer par une nouvelle application baptisée TousAntiCovid-Verif. Disponible sur le Play Store et l’App Store, l’usage de cette appli est normalement réservé aux personnes habilitées et services autorisés. Seulement, le téléchargement et l’utilisation de l’appli sont soumises à une simple déclaration sur l’honneur, comme sur les sites pornographiques. Un système de sécurité infaillible bien sûr…
Autre problème, alors que la fiche Google Play Store de l’appli montre que les utilisateurs de TousAntiCovid Vérif accéderont uniquement à la liste de prénoms du patient, à son nom de famille et à sa date de naissance, l’expert informatique Mathis Hammel a prouvé sur Twitter qu’il était possible d’extraire bien plus d’informations comme le type de vaccin injecté, le nombre de doses reçues, la date de l’injection, etc.
Je viens d'inspecter un peu la nouvelle application officielle permettant de vérifier l'authenticité des certificats de vaccination français : TousAntiCovid Verif (https://t.co/gCfobGCbSu), et comme déjà relevé par d'autres (https://t.co/t9EQizGhg3), c'est plutôt inquiétant. 👇
— Gilbert Gilb's (@gilbsgilbs) June 5, 2021
Terminons sur ce dernier point sensible : le traitement des données par TousAntiCovid Vérif. Alors que la fiche de l’appli assure qu’elle n’utilise à aucun moment la localisation des personnes et qu’il est impossible de reconnaître l’identité des utilisateurs, un autre fil Twitter nous apprend que les données collectées sont en réalité transférées vers les serveurs de IN Group.
Cette entreprise, qui appartient à 100% à l’État français, récupèrerait donc « la totalité du contenu du 2D-DOC (à savoir le nom, le prénom, la date de naissance, le numéro et marque du vaccin, la date d’injection et la signature)« . Étrange, quand on sait que la politique de protection des données personnelles d’IN Groupe sur TousAntiCovid-Vérif promet qu’aucune donnée ne sera partagée ou stockée. Vous l’aurez compris, TousAntiCovid-Vérif est encore bien loin d’être irréprochable, et c’est un sérieux problème, compte-tenu de son importance.
Plus d’explications avec Florian Maury et Piotr Chmielnicki, les deux experts en cybersécurité qui ont décortiqué le pass sanitaire :
Source : Broken By Design
