Comment le gouvernement français protège t-il les données des pass sanitaires en circulation ?
Depuis un moment, le pass sanitaire est obligatoire pour accéder à certains espaces publics en France.
Pour faciliter la vérification de ces dispositifs sanitaires, il a été développé des solutions informatiques par le gouvernement français en collaboration avec la Commission européenne. Ces dispositifs tournent autour d’un QR code. Grâce à la clé qu’il contient, il est possible de vérifier de façon numérique le lieu de vaccination ainsi que le contenu de certaines informations. En d’autres termes en le QR code se présente comme un identifiant cryptographique.
Cet article va aussi vous intéresser : Des faux pass sanitaires en circulation
De ce que l’on sait, le pass sanitaire ne permet pas d’avoir accès à des données de santé. Cependant, selon la Commission nationale de l’Informatique et des libertés, il n’est pas à exclure qu’une personne mal intentionnée cherche à accéder à ses informations personnelles qui sont contenues dans le QR code.
Il N’empêche que l’autorité administrative chargée de veiller au respect des normes en faveur de la protection des données personnelles ne détaille pas assez bien son point de vue. Cependant elle conseille à toute personne concernée de ne pas divulguer son QR code sur les réseaux sociaux ou sur tout autre plate-forme numérique ou analogique publique. Elle conseille notamment de ne pas présenter son pass sanitaire a des endroits où le contrôle n’est pas obligatoire.
Par ailleurs une autre critique vise l’application particulièrement. Elle concerne l’entreprise chargée de l’hébergement de cette dernière. En effet, c’est une société américaine, du nom de Akamai qui serait chargé de son hébergement. Ce qui pose un problème sérieux de confiance. De son côté le ministre chargé du numérique, Cédric O à chercher à rassurer en signifiant qu’une société tierce ne peut pas accéder aux données quand bien même qu’elles les hébergent.
Pourtant depuis le mois de juin 2021, il semblerait que suite à des études réalisées par des chercheurs en sécurité informatique dont Johan D, Nil L et Gaëtan Leurent, a permis de démontrer que l’application TousAntiCovid serait touchée par de grave faille de sécurité. Si l’étude a été publiée en fin du mois d’août 2021, elle a mis en évidence d’importantes risques pour la sécurité des données.
Ces spécialistes de la cybersécurité ont découvert que certaines données sont collectées auprès de l’utilisateur. Ce sont en particulier des statistiques horodatées et très détaillées. Ce qui est nettement une atteinte à la protection de la vie privée et à la sécurité de l’utilisateur. Elle « contredit le principe de minimisation des données ». Une telle analyse « met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles de traçage de contact Robert (traçage Bluetooth) et Cléa (traçage des lieux par QR Code) » ont déclaré nos 3 chercheurs.
Ce qui tracasse dans cette histoire, c’est que la collecte de données est activée par défaut. S’il est possible de la désactiver manuellement, il faut signifier que l’utilisateur n’en est pas informé au préalable.
Pour soulever un autre problème encore, l’utilisation de l’application permet l’accès aux données de localisation. Ce qui signifie que scanner dans un laps de temps réduit plusieurs utilisateurs dans un même endroit peut permettre de déterminer si des personnes se sont rendues ensembles dans des lieux particuliers. Ce qui peut facilement porter à la déduction que ces personnes se connaissent. De ce fait, si l’envie en prenait au gouvernement, il peut tout simplement essayer de cartographier les relations que les citoyens entretiennent entre eux.
Enfin il faut savoir que si l’on regroupe l’ensemble des données collectées par le système de vérification, il sera possible d’identifier avec précision un utilisateur de l’application TousAntiCovid. Si le logiciel : « croise ces données avec les logs du convertisseur de certificat (qui contient des données nominatives), elle peut retrouver l’identité des utilisateurs », explique le chercheur. Par conséquent, il est difficile de penser à un quelconque anonymat dans ce contexte.
Toutefois, il ne faudrait pas crier trop vite à la conspiration.
« Je ne pense pas qu’il y ait une volonté de tracer les utilisateurs. Les différents problèmes sont plutôt la conséquence de choix qui ont étés fait sans réfléchir à leurs conséquences en termes de vie privée, et d’un manque de contrôle. En particulier, je ne comprends pas pourquoi la CNIL n’a pas émis un avis négatif sur l’application TAC Verif qui faisait la vérification de signature sur un serveur central. C’est vraiment dommage d’avoir fait ces erreurs, parce que le projet StopCovid (qui est devenu TousAntiCovid) a été lancé avec des protocoles respectueux de la vie privée développés par des chercheurs de l’équipe Inria PRIVATICS, une analyse de sécurité de l’ANSSI, et un bug Bounty sur le code de l’application. Les évolutions récentes ont apparemment été faites sans aucune analyse de risque, et tous ces efforts sont gâchés », déclare le chercheur en cybersécurité, Gaëtan Leurent.
Pour ce dernier, il faut écarter la thèse de la volonté de l’État d’espionner où nous contrôler l’utilisateur de l’application.
Cependant le chercheur en sécurité informatique ne manque pas de soulever que la conception du pass sanitaire tel qu’il est actuellement pose un réel problème. Il serait en effet trop intrusif à cause des informations qu’il est censé contenir. Tout ceci dans un environnement dont la sécurité il n’est pas définitivement ou correctement garantie. « Le Pass a été conçu comme une version digitale d’un résultat de test COVID ou de certificat de vaccination, et il inclue les mêmes données: identification (nom, prénom, date de naissance), et données de santé (suivant le cas, résultat de test COVID avec la date, ou information vaccinale avec le nombre de doses et la date de la dernière). C’est un choix qui se défend pour les contrôles aux frontières, mais pour une utilisation dans la vie quotidienne, ça nous oblige à révéler beaucoup d’informations. En particulier le nombre de doses révèle des informations de santé: une seule dose pour ceux qui ont eu le COVID, trois doses pour les immunodéprimés. Il aurait été possible de mettre en place des Pass à durée de validité réduite (un ou deux jours), qui contiennent seulement une date de validité, sans autres informations, comme ce qui a été mis en place en Suisse », souligne notre chercheur en cybersécurité.
Accédez maintenant à un nombre illimité de mot de passe :