Qu'y a-t-il exactement dans le QR-code sur votre certificat de vaccination COVID européen, et quels impacts en termes de vie privée ? Un petit thread informatif 🧵 1/
Petit disclaimer pour commencer : je ne me prononce pas dans ce fil sur la question du pass sanitaire lui-même, mais sur le dispositif technique retenu pour le mettre en place. 2/
Les QRcodes sont un moyen d'encoder visuellement de l'information pour qu'elle puisse être facilement lue par un ordinateur. En l'occurrence, le QR-code de votre certificat de vaccination comporte les trois types d'infos suivantes : 3/
Votre identité : vos nom de famille, prénom, et date de naissance. 4/
Vos informations de vaccination : cela inclut notamment le vaccin que vous avez eu (Moderna ou Pfizer), le nombre de doses, la date et le pays de vaccination, et un identifiant unique de votre certificat de vaccination. 5/
Voilà ce que ça donne pour moi. Vous noterez qu'il y a des champs inutiles (c'est un vaccin COVID, qui cible le COVID19 ? No shit Sherlock), mais c'est un moyen d'être sûr que le système est extensible s'il est utilisé pour autre chose 6/ 
Finalement, des informations sur le certificat lui-même : sa date d'émission (même jour que le vaccin pour moi) et de validité (jusqu'en juin 2023 !), quelle autorité l'a émise (la CNAM). 7/
Jusque là, rien n'empêche qui que ce soit de générer son propre QRcode de certificat avec des valeurs de son choix. Mais c'est pour éviter cela que le certificat a une signature numérique. 8/
Une signature est un long numéro qui est joint au certificat et qui a été calculé à partir de son contenu et d'une clé dite secrète. Cette clé, seul l'État français la connait. 9/
Mais l'État rend public un autre numéro, la clé publique : celui-ci ne permet pas de générer la signature, mais il donne un moyen de vérifier que celle-ci est correcte par une autre opération mathématique. 10/
Cela permet à la fois de vérifier l'origine du message (c'est bien l'État qui l'a signé) et son intégrité : si le certificat a été modifié, l'opération mathématique échoue, et la signature sera considérée comme incorrecte. 11/
Impossible de modifier votre certificat pour faire passer le nombre de doses de 1 à 2 sans casser la signature, par exemple ! 12/
Le gros avantage des signatures numérique, c'est qu'il n'y a besoin de demander à personne pour la vérifier. Si je suis une institution qui doit vérifier le pass sanitaire, je dois simplement télécharger la liste des clés publiques des différents états. 13/
Puis ensuite, quand je vérifie un certificat, mon scanner vérifie la signature, et si elle est correcte il peut ensuite utiliser le contenu pour vérifier les conditions (par ex. il y a bien eu deux doses, ça fait plus de 14 jours, etc.) 14/
Pas besoin de contacter une agence ou une autorité : l'État ni personne d'autre n'est pas mis au courant que mon institution a vérifié le certificat. Il n'y a que moi qui le sait. 15/
Par contre, revers de la médaille, toutes les informations que j'ai listées ci-dessus sont directement présentes dans le QRcode ! En postant une photo de votre pass sanitaire en ligne, vous rendez publiques toutes ces informations ! 16/
Par ailleurs, l'institution qui scanne le document a accès à toutes ces informations, pas seulement au fait que vous respectez les conditions pour entrer (ou pas…) 17/
Mais toutefois, même en tenant compte de ces inconvénients, le système technique retenu me paraît plutôt protecteur des libertés. 18/
Re-disclaimer : ce fil portait sur le dispositif techique retenu, par sur le principe du pass sanitaire.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
