Depuis hier, @TousAntiCovid permet de convertir le #PassSanitaire français 2D-DOC vers le format européen DCC. Problème : au moment de la conversion, l'intégralité des données du pass transitent par un prestataire américain, Akamai.
L'application @TousAntiCovid qui devait être complètement anonyme finit donc par intégrer un wallet nominatif des pass sanitaires, puis par transmettre les données de ce wallet à une société tierce (déjà dénoncée) qui les fait transiter par un intermédiaire américain.
Tout ça utilise la même API d'IN Groupe que lors de mon thread initial sur TousAntiCovid Verif :
https://twitter.com/gilbsgilbs/status/1401128591153373186. La terminaison TLS se fait toujours chez l'américain Akamai, société soumise au Cloud Act. Seuls des serveurs géolocalisés en UE semblent répondre désormais.
Ils sortent ça alors qu'ils sont parfaitement au courant du problème et considèrent même que c'est un risque de gravité importante dans leur AIPD :
https://twitter.com/cryptosaurus6/status/1410695579458547712. De là à dire qu'ils se moquent de nos données personnelles, il n'y a qu'un pas.
Un ticket a été ouvert sur le GitLab de l'application TousAntiCovid concernant cette fuite de données : gitlab.inria.fr/stopcovid19/st… .
• • •
Missing some Tweet in this thread? You can try to
force a refresh
