Covid-19 (Coronavirus-2019nCoV) et crise sanitaire

Médiapart - Données personnelles : les contrôles du « passe sanitaire » suscitent l’inquiétude

il y a 5 mois, par Info santé sécu social

LIBERTÉS PUBLIQUES ANALYSE

9 JUIN 2021 PAR GÉRALDINE DELACROIX ET JÉRÔME HOURDEAUX

Le passe, qui entre en vigueur mercredi 9 juin, ne pourra être exigé, théoriquement, que jusqu’au 30 septembre. L’application de vérification entre également en service, bien qu’elle pose de nombreuses questions, techniques et politiques.

C’est à partir de ce mercredi 9 juin que les Français de 11 ans et plus pourront se voir demander un « passe sanitaire » à l’entrée de certains lieux, afin de prouver leur non-contamination par le Covid-19.

Mis en place dans le cadre du dispositif « de gestion de sortie de crise sanitaire », prévu pour prendre fin le 30 septembre, le « passe sanitaire » pourra prendre plusieurs formes. Il faudra en effet prouver soit sa vaccination, soit son immunité, soit le résultat d’un test PCR négatif de moins de 72 heures. Ces preuves pourront être apportées de manière numérique, intégrées à l’application TousAntiCovid, ou bien en version papier.

Dans un décret publié mardi 8 juin, le gouvernement a précisé la définition des lieux et des événements à l’entrée desquels pourra être exigé un passe sanitaire. Il s’agira de ceux qui « accueillent un nombre de visiteurs ou de spectateurs au moins égal à 1 000 personnes ».

Le décret liste ensuite les situations et les établissements concernés : « les salles d’auditions, de conférence, de réunions, de spectacles ou à usage multiple », « les chapiteaux », « les salles de jeux », les lieux accueillant des « foires-expositions » ou « des salons », « les établissements sportifs en plein air » ou « couverts » et « les événements culturels, sportifs, ludiques ou festifs organisés dans l’espace public ou dans un lieu ouvert au public et susceptibles de donner lieu à un contrôle de l’accès des personnes ». En revanche, le passe sanitaire ne devrait pas être demandé à l’entrée des parcs d’attractions, zoos, musées et hôtels.

Les contrôles seront effectués grâce à la lecture de codes affichés sur les documents ou dans l’application, et lus par une application spécialement développée pour le ministère de la santé, TousAntiCovid Verif (dite aussi TAC Verif). Ils ne pourront être réalisés que par des personnes habilitées par les organisateurs d’événements ou propriétaires de salles, et dont les noms et heures de prise de fonction devront être consignées dans un registre.

Extrait de notre émission « A l’air libre », consacré au passe sanitaire © Mediapart
Malgré ces précautions, plusieurs spécialistes alertent sur les failles potentielles du dispositif. Interrogé par Mediapart le 25 mai dernier, l’expert judiciaire et blogueur signant sous le pseudonyme de Zythom soulignait ainsi que les codes affichent, à la vue de tous, de nombreuses informations pouvant facilement être lues.

« Dans le cas du passe sanitaire français, le souhait du gouvernement est d’encourager les utilisateurs à centraliser les différentes informations au sein d’une application unique (controversée) TousAntiCovid, détaillait-il. Trois transferts sont possibles vers le smartphone : le certificat de test virologique négatif (test RT-PCR et test antigénique), le certificat de rétablissement de la Covid-19 et l’attestation certifiée de vaccination. L’application TousAntiCovid devrait générer un QR code contenant ces informations, QR code à présenter pour entrer dans les lieux publics recevant un grand nombre de personnes. »

Jeudi 3 juin, le blog Broken by Design, tenu par le spécialiste en sécurité informatique Florian Maury, est venu étayer ces craintes en publiant une note détaillant les informations qu’il avait pu récupérer en analysant le passe sanitaire.

D’autres spécialistes interrogés par Mediapart soulèvent des problèmes techniques aussi bien que « politiques », selon l’expression de Bastien Le Querrec, juriste et membre de la Quadrature du Net.

Comment le contrôle des passes fonctionne-t-il ? Le passe sanitaire contient des informations de santé, et une signature cryptographique qui assure qu’il ne s’agit pas d’un faux, précise Gaëtan Leurent, chercheur en cryptographie à l’Inria (Institut national de recherche en sciences et technologies du numérique).

Le passe peut être intégré dans l’application TousAntiCovid (ex-Stop Covid) ou bien imprimé sur papier, un peu comme un billet de train peut être électronique ou imprimé. De son côté, l’application TAC Verif, mise en œuvre par IN Groupe (anciennement Imprimerie nationale), va lire ce code dit « 2D-DOC », et envoyer les données à un serveur d’où reviendra un feu vert ou rouge à la personne qui souhaite accéder à tel ou tel lieu ou événement.
Première faille : n’importe qui peut télécharger cette application de vérification – même si son usage est réservé, en théorie, aux seules personnes « habilitées », c’est-à-dire celles qui vont réaliser les contrôles à l’entrée des lieux de rassemblement. Pire, n’importe qui peut, en téléchargeant une appli de lecture de code 2D-DOC, obtenir toutes les informations du passe sanitaire : nom, prénom, date de naissance, le cas échéant nombre d’injections du vaccin, avec dates et marque, ou résultat du test PCR, etc. « C’est une faiblesse du système 2D-DOC appliqué au passe sanitaire plus qu’un problème de l’application TousAntiCovid Verif elle-même », nous explique toutefois @gilbsgilbs, développeur qui préfère conserver le pseudonyme qu’il utilise sur Twitter.

Quant au bénéficiaire d’un passe sanitaire, il ne saura pas, met en garde Gaëtan Leurent, si la personne qui vérifie son passe utilise bien l’application officielle, ou une autre qui lui donnera, plutôt qu’un feu vert ou rouge, directement les informations telles que le résultat d’un test PCR.

Deuxième faille : c’est l’envoi des données à un serveur d’IN Groupe. « En cryptographie, normalement, les signatures sont toujours vérifiées en local », explique Gaëtan Leurent à Mediapart. Il n’aurait pas été compliqué d’intégrer ces tâches à l’application, nous affirme le chercheur, qui trouve « absurde » le choix d’IN Groupe, « moins efficace » et source de fuite de données. En réponse à nos questions, IN Group affirmait mardi soir qu’« une mise à jour de TAC Verif est en cours afin de permettre une vérification en local sur le smartphone ».

« Dès l’origine, affirme l’entreprise, l’application a été pensée pour ne stocker aucune information personnelle, en local comme sur le serveur distant d’IN Groupe. » Selon le secrétaire d’État au numérique Cédric O, qui s’est exprimé sur Twitter mardi en fin de journée, « aucune donnée personnelle ne sera conservée ni par le serveur central, ni par l’application #TousAntiCovid-Verif ».

Troisième faille : en même temps que les données, parmi lesquelles évidemment l’identité de la personne, des métadonnées partent vers le serveur d’IN Groupe : on saura ainsi qu’elle se trouve à telle heure, à tel endroit (grâce à l’adresse IP de l’utilisateur de l’application de contrôle). Alors qu’avec une vérification locale, savoir « qui va au concert reste une info entre la personne et l’organisateur de l’événement », souligne Gaëtan Leurent.

Mais ce n’est pas tout pour cette application dite franco-française. Les données transitent par les serveurs d’Akamai, une société américaine qui, en très résumé, sert à faciliter le trafic. Interrogé par Mediapart, IN Groupe le justifie de la manière suivante : « Dans son dispositif de sécurité, IN Groupe fait appel aux solutions Akamai. La solution Akamai est une plateforme permettant la supervision et l’administration de la sécurité d’un système. Elle permet en particulier de lutter contre les attaques par déni de service. Elle est inscrite au catalogue de l’ANSSI [Agence nationale de la sécurité des systèmes d’information – ndlr]. IN Groupe a conclu avec Akamai un accord garantissant que seuls les serveurs européens d’Akamai seraient sollicités. »

L’application utilise enfin au moins deux services de Google , comme l’a relevé @gilbsgilbs. Le premier, Crashlytics, est utilisé pour faire remonter des informations en cas de plantage de l’application. « Si le crash se produit au moment où un code est scanné, les infos qu’il contient pourraient être remontées » à Crashlytics, explique-t-il à Mediapart. IN Groupe justifie auprès de Mediapart l’utilisation de ces outils et annonce y mettre fin : « La période de test (dite phase bêta) de l’application avait justifié l’utilisation provisoire d’outils de reporting du comportement de l’application afin de réajuster son fonctionnement. Cette phase de test étant achevée, les outils de reporting ont été ôtés de l’application. Cet ajustement est en cours. »

Le second outil est le lecteur de code de Google, installé nativement dans la plupart des téléphones Android, qui permet à l’appareil photo de « lire » le Code, c’est-à-dire de transformer l’image en octets. Et il en existe encore un troisième, Google Analytics, qui permet d’obtenir des statistiques sur l’utilisation de l’application…

Mais pour Bastien Le Querrec, membre de la Quadrature du Net et juriste en droit public, il n’y a pas que l’application TousAntiCovid Verif qui pose problème. En premier lieu, il rejoint la Cnil et nos deux autres interlocuteurs pour regretter que le code de l’application ne soit pas accessible et « auditable librement ». Cela devrait être bientôt le cas : « Dans un souci de transparence, IN Groupe a convenu avec l’INRIA de publier le code source de l’application. Celui-ci sera rendu public dans les prochains jours », affirme IN Groupe en réponse à nos questions.

Au-delà des spécificités techniques de l’application, les critiques de Bastien Le Querrec portent sur les informations contenues dans le passe sanitaire lui-même. L’association de défense des libertés doit d’ailleurs dès ce mercredi matin déposer un référé-liberté visant à suspendre l’obligation de divulgation d’autant d’informations dans le passe sanitaire.

Le passe contient en effet, « contrairement à ce qui est dit », notamment par Cédric O, « énormément d’informations qui ne devraient pas y figurer ». Le juriste conteste ainsi l’argument du ministre selon lequel la volonté de la Cnil de minimisation des données a été respectée.

Concrètement, cela signifie que ni les dates de vaccination ou de test PCR, ni la marque du vaccin ou le fait d’être guéri d’un Covid et donc immunisé, ne devraient figurer dans le passe. Ces données pourraient – et devraient – être remplacées par un « oui » valable à partir de telle date (tant de jours après la deuxième dose de vaccin) ou jusqu’à telle date, tant de jours après un test PCR négatif ou une immunité acquise par la maladie.

Les données étant là, Bastien Le Querrec déplore ensuite qu’« aucune mesure technique » n’ait été prise « pour les rendre inaccessibles », « alors que la loi exige que les informations contenues dans le passe ne soient pas lisibles ». Selon lui, « le gouvernement a fait du cache-misère » avec une application qui certes, dans son usage officiel, ne montre pas tout, mais dispose bel et bien des informations. « La sécurité est artificielle, c’est juste de la poudre aux yeux », proteste encore @gilbsgilbs.

Bastien Le Querrec met également en garde contre la constitution possible de « fichiers illicites » par des acteurs malveillants disposant d’une application de lecture de code. Si celle développée par IN Groupe pour le gouvernement « ignore » les informations et ne montre à la personne habilitée à scanner le passe qu’un bouton vert ou rouge, les données sont tout de même présentes. Si pour une raison ou pour une autre, s’alarme le juriste, « on demande à la police de vérifier ces infos, cela fait courir un risque aux personnes qui vont dans les festivals… Ce sont des données sensibles, des données de santé, des données qui sont aussi recherchées par les data brokers [marchands de données personnelles – ndlr] ».

Autre point plus que délicat, le passe « impose la divulgation de l’identité civile, alors que la loi du 31 mai 2021 n’y oblige pas ». Concrètement, cela signifie que pour qu’un organisateur soit certain que la personne qui présente le passe est bien celle à qui il a été remis (après un vaccin, un test PCR…), il faudra vérifier qu’elle porte le nom qui s’affiche dans l’appli… c’est-à-dire vérifier son identité.

Bastien Le Querrec souligne ainsi la totale disproportion des moyens de contrôle mis en œuvre alors qu’on n’a pas constaté de fraude massive aux tests PCR, par exemple, dont il rappelle qu’ils s’effectuent sans contrôle d’identité. Tout comme les entrées dans les rassemblements festifs ou autres matchs…
En matière de fichage, prévient-il, l’expérience montre « que cela commence toujours par quelque chose d’anodin ». « Qui nous assure que dans deux ans, on ne devra pas montrer d’autres QR codes à la police ?, s’alarme-t-il. C’est en rendant banales ces mesures de surveillance qu’on arrive à la fin à quelque chose qu’on regrette. »