Je viens d'inspecter un peu la nouvelle application officielle permettant de vérifier l'authenticité des certificats de vaccination français : TousAntiCovid Verif (play.google.com/store/apps/det…), et comme déjà relevé par d'autres (broken-by-design.fr/posts/pass-san…), c'est plutôt inquiétant. 👇
Petit préambule : lorsque vous vous faites vacciner ou que vous faites un test PCR, on vous remet un certificat sous la forme d'un code barre 2D (2D-DOC) qu'il faudra présenter pour accéder aux grands rassemblements à partir du 9 juin. Ce 2D-Doc contient des données personnelles.
Ce code barre est signé numériquement à l'aide d'une clé asymétrique ECSDA. Ceci rend théoriquement impossible la falsification et permet à tout le monde (vous, moi ou l'organisateur d'un événement) de vérifier son authenticité de façon entièrement hors ligne et décentralisée !
Maintenant on en vient à l'application TousAntiCovid Verif. Cette application a été développée par une entreprise privée, IN Groupe (ingroupe.com) j'imagine (j'espère) à la suite d'un appel d'offre.
Première problème : on ne trouve le code source de cette application nul part. Seul IN Groupe sait réellement ce que fait son app. TousAntiCovid avait été distribué en open-source et sous license libre, pourquoi pas la même transparence pour TousAntiCovid Verif ?
Logiquement, ce manque de transparence a attisé ma curiosité. En creusant un peu plus, on s'aperçoit que l'application embarque des composants propriétaires de Google (Firebase et certains services Google Play). 
Quel intérêt d'intégrer des composants propriétaires américains, qui plus est spécifiquement conçus pour espionner les utilisateurs ? OK, y'a un nag screen dans l'application, mais ces composants sont quand même inclus et seul Google peut garantir ce qu'ils font réellement.
Troisème problème, et le plus important : pourquoi la totalité du contenu du 2D-DOC (à savoir le nom, prénom, date de naissance, numéro et marque de vaccin, date d'injection, signature, etc…) est envoyé sur un serveur d'IN Groupe ?
Les personnes qui vont vouloir accéder à des événements requérant le pass sont-elles bien au courant de ce partage d'informations personnelles (et médicales) ? Sont-elles en mesure ne pas donner leur consentement sans subir de préjudice ? Est-ce vraiment RGPD-conforme ?
Par exemple, comment garantir si ce pass est utilisé pour l'accès aux manifestations qu'ils ne sera pas utilisé pour ficher les manifestants ? C'est quand même une sacrée dérive !
Est-ce que la finalité du traitement des données est vraiment légitime ? Comme on l'a vu, l'authenticité du certificat pouvait très bien être vérifiée localement et des éventuelles révocations pourraient se vérifier en envoyant un simple hash du certificat.
TL; DR; TousAntiCovid Verif :
- n'est ni open-source ni sous license libre ;
- contient du code propriétaire de Google qui espionne les utilisateurs ;
- partage des données personnelles avec une entreprise privée (IN Groupe) sans recueillir de consentement.
- n'est ni open-source ni sous license libre ;
- contient du code propriétaire de Google qui espionne les utilisateurs ;
- partage des données personnelles avec une entreprise privée (IN Groupe) sans recueillir de consentement.
cc @bortzmeyer @TousAntiCovid @cq94 @cryptosaurus6 @Sante_Gouv @gouvernementFR @EmmanuelMacron @olivierveran @CNIL
*ECDSA, bien évidemment
(oui, le double grep dans la commande est stupide 🤦♂️)
Précision : comme relevé par @Dim1tri1 et @renaud_lehoux, IN Groupe est une entreprise privée détenue à 100% par l'État français :
Ça ne change pas du tout le fond du propos, mais c'est une précision qui semble importante.
https://twitter.com/Dim1tri1/status/1401277041773789185ingroupe.com/newsroom/le-gr…
Ça ne change pas du tout le fond du propos, mais c'est une précision qui semble importante.
À noter que la politique de « Protection des données personnelles » de TousAntiCovid Verif semble en l'état complètement mensongère :
https://twitter.com/Johan86193554/status/1401277303653535749
• • •
Missing some Tweet in this thread? You can try to
force a refresh
