Depuis hier, @TousAntiCovid permet de convertir le #PassSanitaire français 2D-DOC vers le format européen DCC. Problème : au moment de la conversion, l'intégralité des données du pass transitent par un prestataire américain, Akamai.
L'application @TousAntiCovid qui devait être complètement anonyme finit donc par intégrer un wallet nominatif des pass sanitaires, puis par transmettre les données de ce wallet à une société tierce (déjà dénoncée) qui les fait transiter par un intermédiaire américain.
Tout ça utilise la même API d'IN Groupe que lors de mon thread initial sur TousAntiCovid Verif :
. La terminaison TLS se fait toujours chez l'américain Akamai, société soumise au Cloud Act. Seuls des serveurs géolocalisés en UE semblent répondre désormais.
Ils sortent ça alors qu'ils sont parfaitement au courant du problème et considèrent même que c'est un risque de gravité importante dans leur AIPD :
Je viens d'inspecter un peu la nouvelle application officielle permettant de vérifier l'authenticité des certificats de vaccination français : TousAntiCovid Verif (play.google.com/store/apps/det…), et comme déjà relevé par d'autres (broken-by-design.fr/posts/pass-san…), c'est plutôt inquiétant. 👇
Petit préambule : lorsque vous vous faites vacciner ou que vous faites un test PCR, on vous remet un certificat sous la forme d'un code barre 2D (2D-DOC) qu'il faudra présenter pour accéder aux grands rassemblements à partir du 9 juin. Ce 2D-Doc contient des données personnelles.
Ce code barre est signé numériquement à l'aide d'une clé asymétrique ECSDA. Ceci rend théoriquement impossible la falsification et permet à tout le monde (vous, moi ou l'organisateur d'un événement) de vérifier son authenticité de façon entièrement hors ligne et décentralisée !