Share this page!

Жильбер гилбс Profile picture
Twitter logo
9 Jun, 12 tweets, 4 min read
TousAntiCovid Verif, Acte 2 : petit topo sur les changements que j'ai pu identifier dans la dernière mise à jour de l'application (v1.3). Spoilers : c'est en bonne voie, mais pas encore parfait. ⬇⬇⬇
Les deux précédents threads pour historique :
-
-
✅ La vérification du 2D-DOC se fait désormais en local. Mieux : *tous* les appels réseau à IN Groupe semblent avoir été supprimés et l'application fonctionne désormais en mode avion. Les 2D-DOC ne transitent plus par un prestataire américain ni par un serveur d'IN Groupe.
✅ Firebase a complètement disparu du bundle. Concrètement, ça veut dire que les données de crash ou d'analytics ne seront plus remontées à Google.
✅ L'application semble désormais fonctionner sur les appareils Android sans les services Google, mais y'a un mais : 👇
❌ Toujours une dépendance à MLKit vision, une bibliothèque propriétaire de Google qui permet la lecture de code-barres et utilise le modèle de données des Play Services s'ils sont disponibles. Ceci est probablement bloquant pour mettre les sources de l'appli à disposition : 👇
❌ L'application n'est à cette date toujours pas en sources ouvertes. La @CNIL a demandé l'ouverture de la totalité du code source (legifrance.gouv.fr/jorf/id/JORFTE…), donc on a de bonnes raisons d'espérer que MLKit va sauter et que les sources vont sortir comme celles de @TousAntiCovid.
À noter qu'il n'y a plus aucune raison (même mauvaise) de laisser ce code source fermé. Il n'y a plus de lien vers un endpoint ni de secrets obfusqués et l'accès au mode "opérateur de transport" semble convenablement sécurisé (dans la limite de ce qui est faisable pour TAC-V).
❌ Je regrette que l'application montre encore trop d'informations. Notamment le mode "opérateur de transport" affiche le nombre de doses faites et restantes avant immunisation : ceci permet de déduire des informations sur l'état de santé des individus. Pourquoi laisser ça ?
⚠ J'espère que la @CNIL va enquêter sur la fuite de données personnelles médicales qu'il y a eu sur les serveurs d'Akamai et d'IN Groupe. Est-ce que vraiment aucun 2D-DOC n'a été loggé sur leurs serveurs ? Ont-ils bien effacé ces informations si tel est le cas ?
Il reste toujours d'autres soucis inhérents à l'implémentation actuelle du pass sanitaire et qui dépassent le cadre de l'application TousAntiCovid Verif. Pour cela, je vous renvoie encore une fois vers l'article de @X_Cli_Public et @piotrcki sur le sujet : broken-by-design.fr/posts/pass-san…
cc @gkallenborn @gdelac @cryptosaurus6

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Жильбер гилбс

Жильбер гилбс Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @gilbsgilbs

Жильбер гилбс Profile picture
2 Jul
Depuis hier, @TousAntiCovid permet de convertir le #PassSanitaire français 2D-DOC vers le format européen DCC. Problème : au moment de la conversion, l'intégralité des données du pass transitent par un prestataire américain, Akamai.
L'application @TousAntiCovid qui devait être complètement anonyme finit donc par intégrer un wallet nominatif des pass sanitaires, puis par transmettre les données de ce wallet à une société tierce (déjà dénoncée) qui les fait transiter par un intermédiaire américain.
Tout ça utilise la même API d'IN Groupe que lors de mon thread initial sur TousAntiCovid Verif : . La terminaison TLS se fait toujours chez l'américain Akamai, société soumise au Cloud Act. Seuls des serveurs géolocalisés en UE semblent répondre désormais.
Read 6 tweets
Жильбер гилбс Profile picture
28 Jun
Depuis quelques jours, le #PassSanitaire émis par AMELI et SI-DEP a abandonné le format français (2D-DOC) au profit d'un format européen standard appelé Digital Covid Certificate (DCC). Comment fonctionne-t-il ? Que contient-il ? Qui peut le lire ? Qui peut l'émettre ? Thread ⬇
Rappel : ce passe sanitaire permettra en France de participer aux grands rassemblements, accéder aux discothèques et voyager dans les pays qui l'acceptent. En France, il est vérifié à l'aide d'une obscure application propriétaire, TousAntiCovid Verif dont j'ai déjà parlé en mal.
Toutes les spécifications techniques de ce format sont publiques et disponibles sur une page du site de la commission européenne : ec.europa.eu/health/ehealth… . Contrairement au 2D-DOC qui utilisait un Datamatrix (gauche), ce nouveau format est basé sur le standard QR Code (droite). Image
Read 33 tweets
Жильбер гилбс Profile picture
5 Jun
Je viens d'inspecter un peu la nouvelle application officielle permettant de vérifier l'authenticité des certificats de vaccination français : TousAntiCovid Verif (play.google.com/store/apps/det…), et comme déjà relevé par d'autres (broken-by-design.fr/posts/pass-san…), c'est plutôt inquiétant. 👇
Petit préambule : lorsque vous vous faites vacciner ou que vous faites un test PCR, on vous remet un certificat sous la forme d'un code barre 2D (2D-DOC) qu'il faudra présenter pour accéder aux grands rassemblements à partir du 9 juin. Ce 2D-Doc contient des données personnelles.
Ce code barre est signé numériquement à l'aide d'une clé asymétrique ECSDA. Ceci rend théoriquement impossible la falsification et permet à tout le monde (vous, moi ou l'organisateur d'un événement) de vérifier son authenticité de façon entièrement hors ligne et décentralisée !
Read 17 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @gilbsgilbs has new unrolls!

Check out other threads from @gilbsgilbs!

Read all threads by @gilbsgilbs

:(