Avant l’entrée en vigueur du pass sanitaire demain, Cédric O tenait une conférence de presse pour donner les derniers détails. L’occasion pour nous de demander des explications sur la présence de données en clair, l’utilisation d’un serveur de vérification et de composants Firebase (Google).
Le secrétaire d'État chargé de la Transition numérique et des Communications électroniques rappelle que c’est une nouvelle étape du plan de déconfinement, qui permettra de « rouvrir des lieux avec de jauges, qui sinon seraient restés fermés ». « Nous espérons que cette fois-ci ce soit pour de bon… », ajoute-t-il.
Le pass sanitaire prend pour rappel la forme d’un 2D-DOC que l’on peut importer dans son application TousAntiCovid et/ou garder sur une feuille de papier. Cédric O affirmait que « la CNIL a transmis son avis, qui va être rendu public dans les heures qui viennent ». Il est désormais disponible ici.
La CNIL valide ? Pas si vite
Pour le secrétaire d’État, la gardienne des libertés validerait « le dispositif du pass sanitaire […] à la fois de TousAntiCovid Carnet, mais également l’architecture de fonctionnement de TousAntiCovid Verif ». En pratique, elle émet tout de même quelques réserves et fait des rappels. Notamment qu'une « attention particulière devra être portée aux usages du passe sanitaire, susceptibles de révéler des informations sensibles, et notamment à la nécessité de sanctionner toute utilisation frauduleuse ». Sans que l'on sache exactement qui en aura la charge.
Mais aussi « qu’il est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé. Elle a invité le Gouvernement à mettre en place des mesures d’informations afin de sensibiliser le public sur la nécessité de protéger leurs justificatifs et de ne pas les exposer en dehors des contrôles prévus par le passe sanitaire (ne pas présenter les justificatifs dans des lieux qui ne sont pas concernés par le passe sanitaire, ne pas les publier sur les réseaux sociaux etc.) ».
Elle critique également la non publication du code source de TousAntiCovidVerif, « regrette que le Gouvernement ne lui ait transmis ni de dossier technique ni d’AIPD et rappelle au Gouvernement que cette analyse devra être finalisée avant la mise en œuvre effective du dispositif », prend acte de la transmission de données à un serveur central mais « rappelle qu’à l’issue de la vérification, aucune donnée ne devra être conservée » et invite à un travail pour la mise en place d'une version « d'avantage décentralisée [...] afin de limiter les envois de données à ce serveur tout en garantissant l’application des règles mises à jour ».
« En particulier, la Commission estime que le contrôle de la validité des justificatifs pourrait être réalisé en local pour les opérations de contrôle du passe sanitaire relatif aux grands rassemblements de personnes. En effet, dans cette hypothèse les règles de gestion sont simples et maitrisées par le Gouvernement » ajoute-t-elle.
Sur les données en clair dans les différents Code QR/2D-DOC, elle précise que « si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information dès 9 personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler. »
Une version centralisée qui doit être revue
Antoine Darodes, directeur de cabinet de Cédric O, est en effet intervenu lors de la conférence, expliquant le fonctionnement de TousAntiCovid Verif : les données récupérées via le QR-Code remontent à un serveur central qui effectue le calcul pour connaître le statut à afficher. Il renvoie ensuite le résultat à l’application qui affiche du vert ou du rouge. Il confirme sans détour : « il y a bien un envoi de donnée vers le serveur central ».
Néanmoins, « les données ne sont pas stockées », affirme-t-il. Il ajoute que le système est « conforme au RGPD » et qu’il a été « validé par la CNIL », bien que cette dernière « invite à [le] modifier ». « Nous travaillons à ce que toutes les règles soient opérées localement pour éviter une remontée des données qui nécessite une connexion Internet et un envoi de données de santé », explique le Antoine Darodes.
Le changement devrait être rapide et intervenir dans « les tout prochains jours » : « on devrait avoir une mise à jour pour avoir un calcul totalement local, ce qui ne nécessitera plus de connexion Internet ».
Il s’agit pour rappel de la promesse initiale.
Quid des faux QR-Code ?
Interrogé sur les falsifications de QR-Code, Cédric O explique que « les équipes d’Air France sont confrontées à plusieurs tentatives de fraude par semaine », mais sans donner plus de précision.
Pour valider un 2D-DOC, il faut pour rappel utiliser l’application TousAntiCovid, qui renvoie le nom, prénom et un feu vert ou rouge, sans préciser les raisons dans les deux cas. Achille Lerpinière de la Direction Générale de la Santé (DGS) rappelle que les émissions de QR code ne peuvent se faire que depuis des services officiels, qui ne sont que deux à disposer des clés permettant de signer et donc authentifier les QR-Code.
Il précise que parmi les motifs d’un feu rouge, il y a justement « signature non reconnue ». « Vous pouvez faire des faux QR-Code, mais ils flasheront toujours rouges sur TousAntiCovid Verif ».
Open source, Firebase (Google) : c’est pour aller plus vite…
Comme évoqué précédemment, TousAntiCovid Verif n’est pas open source, contrairement à TousAntiCovid. Le directeur de cabinet à une explication : « il y a un certain nombre d’éléments de sécurité qui ne doivent pas être libérés […] Nous allons regarder comment on publie le code en enlevant/occultant les parties qui risqueraient de mettre en danger l’application »… en espérant que cela ne soit pas trop long.
Il lâche ensuite une phrase résumant finalement assez bien la situation : « On fait au plus simple, plus vite, et on va vers un système le plus protecteur », mais dans un second temps (et une fois que l’affaire a été rendue publique).
Achille Lerpiniere confirme cet empressement en revenant sur l’utilisation de Firebase (Google) : il s’agit de « composants qui avaient été utilisés pour les expérimentations, mais débranchés dans les mises à jour des applications ce jour ». Il s'agit de la version 1.3, dans laquelle ces outils ont en effet été retirés.
Des données en clair pour… l’interopérabilité
Nous avons ensuite demandé pourquoi les données personnelles et médicales n’étaient pas chiffrées sur le 2D-DOC et donc accessibles à n’importe qui avec un simple lecteur de QR-Code. Réponse : « pour rendre possible l’interopérabilité et faire en sorte que tous les États membres puissent lire ».
Le but étant de « ne pas crypter nos données pour ne pas devoir partager des clés » avec les autres pays… et donc ne pas se compliquer la vie. L’Europe aurait d’ailleurs « collégialement choisi un certain format de certificat européen » avec la « compression uniquement des champs », qui sont donc en clair.
Concernant les risques que cela entraine sur les données personnelles et médicales, il a été dit pendant la conférence de presse « que vous perdiez votre bout de papier ou votre téléphone c’est exactement la même chose […] Ça ne rajoute aucun risque supplémentaire, car ces champs sont écrits noir sur blanc sur le papier ».
Une « astuce » pour le format papier
Lors des contrôles, il n’est pas obligatoire de présenter la feuille en entier (qui contient pour rappel des données sensibles), mais uniquement le QR-Code… avec une astuce donnée par Achille Lerpiniere : « La version actuelle pliée en 2 cache les informations de santé ». La CNIL l'évoque dans son avis, proposant « par exemple, [d'indiquer] les consignes de pliage de manière visible sur le justificatif ou en fournissant un second document qui ne contiendrait que les données nécessaires au contrôle, par l’intégration d’une information claire sur le document, etc ».
« La version DCC à venir le 22 au soir se pliera en 4 pour n'afficher que le QR-code et nom, prénom date de naissance, tout le reste sera caché dans le pliage », ajoute-t-il . En effet, à partir du 23 juin le « pass européen » (ou green) sera pris en charge. Le 2D-DOC sera utilisé du 9 au 23 juin, tandis que le « 22 au soir tout va basculer vers le DCC [Digital Covid Certificate, ndlr] européen ».
Dans tous les cas, les 2D-DOC et DCC « seront valables en France et lisibles dans TousAntiCovid Verif », y compris après le 22 juin pour 2D-DOC. En dehors de France par contre, « il faudra le DCC ». En plus de l’Europe, des discussions sont en cours avec le Maghreb et les États-Unis.
Afin de profiter du système européen DCC, « il sera possible de récupérer une nouvelle preuve au nouveau format sur sidep.gouv.fr et attestation-vaccin.ameli.fr, ou de demander à un professionnel de santé de le faire, ou d'utiliser un convertisseur de preuve intégré dans TousAntiCovid ».
