IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

La CNIL donne son avis sur de nouveaux dispositifs de lecture du passe sanitaire

  1. #541
    Membre extrêmement actif

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    3 001
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 001
    Points : 4 237
    Points
    4 237
    Par défaut
    Bonjour,

    Citation Envoyé par kain_tn Voir le message
    De ce que je comprends de la news, le QR Code sera signé via un service en ligne, du coup c'est difficile de signer un code forgé sans avoir la clé. Par contre, quid des codes imprimés sur du papier?
    Voila ... Quid d'un faux test papier avec QR code

    Citation Envoyé par kain_tn Voir le message
    Il faut peut-être regarder du côté des lois antiterroristes (2006), mais dans les faits si tu passes par un opérateur tu dois fournir une pièce d'identité.
    Entre ce qu'exige la loi et la réalité , tu as des commerçants verreux et peu scrupuleux

    Citation Envoyé par kain_tn Voir le message
    Ce n'est pas dit explicitement, mais je pense qu'ils demandent une pièce d'identité pour ne pas être pris en faute sur ce genre de demande.
    Celle d'un tiers oui ...

    Citation Envoyé par Ryu2000 Voir le message
    C'est probablement impossible, le test doit surement être lié à un numéro de sécurité sociale.
    Sur tout anticovid, je demande a voir leur bricolage en le test pcr et le qr code.

    Citation Envoyé par Ryu2000 Voir le message
    Ce n'est pas une question de sécurité, c'est une question d'économie, il faut que le tourisme reprenne parce que c'est une industrie très importante.
    C'est ce que je dis depuis des mois ...

    Pas de touriste, pas de rentrée d'argent ... Donc l'économie est à l'arrêt.

  2. #542
    Membre actif
    Homme Profil pro
    autre
    Inscrit en
    septembre 2015
    Messages
    117
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : autre

    Informations forums :
    Inscription : septembre 2015
    Messages : 117
    Points : 259
    Points
    259
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    De ce que je comprends de la news, le QR Code sera signé via un service en ligne, du coup c'est difficile de signer un code forgé sans avoir la clé. Par contre, quid des codes imprimés sur du papier?
    Logiquement, le logiciel de lecture du QRCODE récupère diverses informations dont le nom de la personne. Prendre le QRCODE d’un proche posera problème lors d’un embarquement à l’aéroport, mais pourrait fonctionner dans un musée ou restaurant où l’identité n’est pas contrôlée.

  3. #543
    Membre éprouvé
    Profil pro
    programmeur du dimanche
    Inscrit en
    novembre 2003
    Messages
    260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : novembre 2003
    Messages : 260
    Points : 906
    Points
    906
    Par défaut
    quid des codes imprimés sur du papier?
    D'après ce que je vois sur la capture, c'est un code 2D-DOC et non un QR code. C'est un système qui a l'air très bien conçu, qui contient les infos (ex : l'autorité truc certifie que untel est vacciné), le hash de ces données et la signature du hash.
    Pour vérifier, il faut une appli qui scanne ce code et vérifie la signature (c'est standard, il y en a déjà sur les store). Ainsi, les données ne transitent jamais par un serveur.
    On peut même faire un système partiellement hors ligne si l'appli cache les clés publiques courantes.

    C'est "infalsifiable" (à moins de voler en secret les clés de l'autorité de certification, lesquelles sont révocables) quelque soit le support, écran ou papier et n'importe quel téléphone peut faire la vérification (les appli de lecture sont gratuites).

    À mon avis, c'est une excellente idée d'utiliser ce système 2D-DOC qui il me semble est français et normalisé.
    Comme ça, ceux qui veulent un papier ou un carnet de santé peuvent utiliser une impression papier, et ceux qui veulent l'appli peuvent.

  4. #544
    Membre confirmé Avatar de Christian_B
    Homme Profil pro
    Retraité
    Inscrit en
    octobre 2016
    Messages
    255
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : octobre 2016
    Messages : 255
    Points : 495
    Points
    495
    Par défaut
    Selon le gouvernement, la connexion sécurisée se fera via FranceConnect. De plus, plus tard dans l'année, ce code QR pourra être lu par les terminaux NEO des forces de l'ordre en France.
    Chouette ! La surveillance centralisée progresse. Les fictions post-1984 totalitaires (au sens littéral : connaissance et contrôle de tout) façon romans d'Alain Damasio sont de moins en moins des fictions. Nous seront parfaitement en sécurité, enfin si les autorité (et équivalents privés) n'abusent pas de leur pouvoir, ce qui serait nouveau. Mais gare au moindre écart. Et les systèmes automatiques pour interdire certains lieux à ceux qui n'ont pas les qualifications requises ne sont pas loin
    Linux Mint 20.2 Mate.
    Les armes nucléaires sont interdites depuis le 22 janvier. Y a plus qu'à ...

  5. #545
    Membre extrêmement actif

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    3 001
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 001
    Points : 4 237
    Points
    4 237
    Par défaut
    Bonjour,

    Citation Envoyé par Christian_B Voir le message
    Nous seront parfaitement en sécurité, enfin si les autorité (et équivalents privés) n'abusent pas de leur pouvoir, ce qui serait nouveau. Mais gare au moindre écart. Et les systèmes automatiques pour interdire certains lieux à ceux qui n'ont pas les qualifications requises ne sont pas loin
    > privatisation de la sécurité
    > flicage des citoyens lambda qui n'entrent pas dans une case
    > amendes et ou sanctions automatisées (même arbitrairement ou à cause d'une fraude)
    > clivage entre ceux autorisés et ceux interdits

    Vu tout ce que l'on nous a pondu , je suis certains qu'on va y arriver.

    Sur le plan éthique, cela va poser de sérieux problèmes vu qu'on a ouvert une boite de pandore .

    J'appellerai cela, une personne extérieur ,qui nous déposséde de nous même et notre façon de penser et vivre. Une forme de "vous n'êtes" plus propriétaire de votre vous même. Ou vous rend vous même mercantile, vous êtes un produit comme on jette un vulgaire détritus à la poubelle.

  6. #546
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    août 2010
    Messages
    1 621
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : août 2010
    Messages : 1 621
    Points : 3 644
    Points
    3 644
    Par défaut
    En attendant l'intégration des données médicales non Covid (autres vaccins, grosses maladies déjà contractées comme la varicelle...) et les données non-médicales (infos fiscales, obligations vis-à-vis de la Défense Nationale, crédits bancaires en cours...).

    Puis il faut aussi savoir parler vaccin au moins vieux. La pub (mensongère au demeurant) de la mamie vaccinée qui retrouve ses petits-enfants normalement comme avant la Covid ça va moins bien marcher sur les moins de 50 ans. Le chantage au vaccin pour avoir une vie sociale (restaurants, bars, voyages, sport, sorties culturelles...) sera beaucoup plus parlant auprès de ces gens là.

    Citation Envoyé par tanaka59 Voir le message
    2) Qu'elle fait doublon avec le DMP

    https://www.dmp.fr/version



    On se moque de qui ? On crée un webservice censé remplacer le carnet de santé bleu ... Qu'on doublonne d'une appli four tout . Faut qu'on m'explique la ?

    Si je me fais vacciné, j'utiliserai mon DMP et pas "tousantimachin-truc" ... et leur nom à rallonge.
    Il faut donner une impression d'action. Tu ne peux pas te contenter de rappeler qu'il existe déjà un dispositif utile pour ça, surtout quand il a été mis en place par un précédent gouvernement qui est désormais dans l'opposition. En Macronie, informatique + santé = TousAntiCovid, pas le DMP mis en place sous un gouvernement UMP de droite et déjà réformé par le PS de gauche.

    De plus le DMP n'est pas exempt de polémiques, que l'opposition se ferait un plaisir de ressortir du tiroir pour son traditionnel plaisir de polémiquer pour polémiquer.

    -----

    Bref les joies de la tournure politique de la résolution du Covid, avec des chevaux de Troie (passeport vaccinal, travail dominical renforcé...) et des mesures sanitaires avec des relents de "surtout je ne me tire pas une balle dans le pied pour les Présidentielles dans 1 an" (qui ne va pas reconfiner cet été en pleine vague de variant indien parce que les gens ne voteront pas pour toi dans 9 mois si tu les interdis de s'entasser sur les plages cet été ? ).
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  7. #547
    Membre confirmé Avatar de Christian_B
    Homme Profil pro
    Retraité
    Inscrit en
    octobre 2016
    Messages
    255
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : octobre 2016
    Messages : 255
    Points : 495
    Points
    495
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    [...]
    Vu tout ce que l'on nous a pondu , je suis certains qu'on va y arriver.

    Sur le plan éthique, cela va poser de sérieux problèmes vu qu'on a ouvert une boite de pandore .

    J'appellerai cela, une personne extérieur ,qui nous dépossède de nous même et notre façon de penser et vivre. Une forme de "vous n'êtes" plus propriétaire de votre vous même. Ou vous rend vous même mercantile, vous êtes un produit comme on jette un vulgaire détritus à la poubelle.
    Nous sommes tout à fait d'accord à une réserve près : l'avenir n'est pas écrit, il se passe parfois des choses inattendues. Le pire n'est pas certain.
    Toutes ces menaces reposent sur la passivité, la naïveté et/ou l'absence d'une large prise de conscience.
    Si on croit qu'on ne peut rien faire, que c'est une fatalité comme les intempéries (qui d'ailleurs ne sont plus un phénomène "naturel" indépendant de l'activité humaine), alors on ne fait rien. Cette conviction est auto-réalisatrice.
    Mais c'est vrai que dans l'immédiat on ne voit guère de raisons d'être optimiste sur ces questions.
    Quoique, plus spécifiquement, l'application bidon qui est le thème initial ait plutôt fait un bide
    Linux Mint 20.2 Mate.
    Les armes nucléaires sont interdites depuis le 22 janvier. Y a plus qu'à ...

  8. #548
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    8 375
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 8 375
    Points : 15 007
    Points
    15 007
    Par défaut
    Indignation après une fête géante improvisée au parc des Buttes-Chaumont
    Plusieurs centaines de personnes se sont regroupées dimanche dans ce parc du XIXe arrondissement de Paris sans respect des gestes barrières. L’initiative a suscité des réactions indignées sur les réseaux sociaux.
    À un moment donné dans la vidéo on doit entendre Let Me Show You de Camisra, Shake What Your Mama Gave Ya de Dj Deeon, et après Move Your Body de Marshal Jefferson, je trouve ça sympa.
    Keith Flint 1969 - 2019

  9. #549
    Membre confirmé Avatar de Christian_B
    Homme Profil pro
    Retraité
    Inscrit en
    octobre 2016
    Messages
    255
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : octobre 2016
    Messages : 255
    Points : 495
    Points
    495
    Par défaut
    De nombreuses personnes se sont réunies depuis 1 an dans des églises parfois bondées (vu à Rueil par un proche). Cela n'a apparemment suscité aucune indignation.
    Linux Mint 20.2 Mate.
    Les armes nucléaires sont interdites depuis le 22 janvier. Y a plus qu'à ...

  10. #550
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 370
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 370
    Points : 154 881
    Points
    154 881
    Par défaut App TousAntiCovid et Pass sanitaire : les infos personnelles et médicales sont disponibles en clair
    Application TousAntiCovid et Pass sanitaire : les informations personnelles et médicales sont disponibles en clair,
    prévient Christian Quest

    Mercredi 9 juin, la France va passer à une nouvelle phase du déconfinement, notamment avec la réouverture totale des bars, cafés et des restaurants, mais aussi des salles de sport et des stades. Les entreprises retrouveront une certaine marge de manœuvre au sujet du nombre minimum de jours de télétravail par semaine, comme l'a indiqué Élisabeth Borne, ministre du Travail, de l’Emploi et de l’Insertion annonçant la fin du télétravail à 100 %. Pour sa part, l’heure du couvre-feu sera repoussée à 23 heures, au lieu de 21 heures.

    La Direction de l'information légale et administrative (Premier ministre) a annoncé « qu'à compter du 9 juin 2021, un pass sanitaire sera mis en place de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination. Il ne sera pas obligatoire et ne sera pas nécessaire pour toutes les activités relevant de la vie quotidienne : lieu de travail, grandes surfaces, services publics ou encore restaurants et cinémas. Il sera exigé pour participer à des événements accueillant plus de 1 000 personnes où le brassage du public est plus à risque au plan sanitaire : grandes salles de spectacle, événements sportifs ou culturels, festivals, foires et salons... ».

    Dans cette optique, l'application TousAntiCovid dispose d’un carnet des tests et vaccinations, qui pourront servir dans le cadre des pass sanitaires. Pour mémoire, en avril, une fonctionnalité a été ajoutée à l'application de suivi des contacts TousAntiCovid. Appelée TousAntiCovid-Carnet, cette dernière vous permet d'ajouter les résultats de vos tests PCR et antigéniques dans l'application pour les présenter à un tiers. Elle permet également d'ajouter la preuve de votre vaccination, notamment votre certificat de vaccination, ce qui vous permettra de prendre l'avion ou d'aller à l'étranger.

    Christian Quest (porte-parole d’OpenStreetMap France, entre autres), note que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».

    Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées.

    À ce propos, en rappelant que les données doivent « être limitées à ce qui est nécessaire (principe de minimisation) », la CNIL avait prévenu en avril que la nouvelle fonctionnalité TousAntiCovid-Carnet doit notamment respecter les garanties suivantes :
    • l’utilisateur doit pouvoir en garder le contrôle ;
    • le certificat doit être accessible également au format papier ;
    • les données doivent être exactes, certifiées par une autorité et leur intégrité doit être garantie ;
    • les données contenues dans le certificat doivent être limitées à ce qui est nécessaire (principe de minimisation) ;
    • les autorités qui vérifieront le Datamatrix ne doivent pas avoir accès aux données de santé qui ont permis sa délivrance et ne doivent, en aucun cas, générer la création d’une base centralisée de données ;
    • des mesures de sécurité doivent être apportées (données chiffrées, intégrité vérifiée, audits des systèmes d’information, etc.).

    Un risque accru de vol d'identité

    Dans un billet intitulé « Pass sanitaire et vie privée : quels sont les risques ? » publié sur Broken By Design, Florian Maury et Piotr Chmielnicki ont tenté de mettre la lumière sur le pass sanitaire. Ce document « vise à mettre au jour de fausses informations diffusées par certains membres du gouvernement, à expliquer et à illustrer pourquoi le pass sanitaire, tel qu’il est conçu, met en danger la vie privée, mais aussi des données médicales des citoyens. En outre, il accroit le risque de vol d’identité ».

    « Le pass sanitaire est présenté sous la forme d’un code-barre en deux dimensions, appelé datamatrix. Ce code barre, comme son nom l’indique, encode des informations. Il est en cela similaire aux codes barres des produits que vous achetez en grande surface, et que vous passez à la caisse. Il est juste en deux dimensions et contient plus d’information. Au lieu d’un numéro qui sert à indiquer à la caisse enregistreuse la nature du produit que vous achetez, ce qui lui sert à connaitre le prix à imputer, le code-barre du pass sanitaire contient vos informations personnelles et des informations relatives à la vaccination. L’encodage de ces informations ne constitue pas une mesure de protection des données puisque n’importe qui équipé d’un dispositif de lecture de code-barres peut acquérir les données qui ont été encodées. Le pass sanitaire ne fait pas exception.

    « D’après le site Service Public.fr, le pass sanitaire contient les informations suivantes :
    • nom, prénom ;
    • date de naissance ;
    • type de certificat et résultat éventuel (test PCR ou antigénique ou vaccination première et seconde dose) ;
    • type de vaccin le cas échéant ;
    • date et heure du certificat.
    • Le site gouvernement.fr indique la même liste.

    « Nous avons analysé le contenu du pass sanitaire, à l’aide d’outils grands publics, trouvables sur n’importe quel Store d’applications, comme le Google Play Store ou l’Apple Store. Par exemple, Barcode Scanner de ZXing Team sur le Google Play Store.

    « Nous affirmons que la liste dressée par les sites gouvernmentaux est incomplète.

    Le pass est composé de 3 types d’informations :
    • des informations techniques, qui permettent de vérifier l’authenticité du pass sanitaire ; on y retrouve des informations sur l’émetteur du pass sanitaire, ainsi que la date d’émission, et le sceau d’authenticité (une signature numérique) ;
    • des informations personnelles : nom, prénom et date de naissance ;
    • des informations de santé : le type de molécule injectée, le nom du vaccin reçu, le nombre de doses reçues, la date de vaccination et si ce nombre est suffisant pour être protégé de manière optimale pour la personne vaccinée.


    Nom : broken.png
Affichages : 18923
Taille : 67,0 Ko

    « Au-delà de ces informations de santé, il est également possible d’inférer des informations de santé encore plus privées sur certains citoyens : ont-ils déjà été infectés par la COVID-19 (besoin que d’une seule dose) ? Sont-ils immunodéprimés (besoin de trois doses) ? Sont-ils parmi les citoyens prioritaires pour recevoir des injections tôt dans le calendrier vaccinal ?

    « Ces informations dépassent largement le cadre et la finalité du pass sanitaire ».

    Qu'en est-il du code QR ?

    En janvier, dans un document édité par le Comité de contrôle et de liaison covid-19 (CCL-Covid), chargé de conseiller le gouvernement sur les dispositifs numériques de lutte contre la pandémie, il était prévu une nouvelle fonctionnalité à l’application française TousAntiCovid : l’utilisation de codes QR comme dispositif de traçage des contacts. Ils seraient placés à l’entrée des lieux clos, comme les restaurants et les transports en commun.

    CCL-Covid a expliqué que « de manière simplifiée, un code QR sera positionné à l’entrée de certains lieux à risque (liste des lieux en cours d’identification en lien avec SPF [Santé publique France, NDLR]). La personne flashe ce code (il suffit donc d’un téléphone avec appareil photo) et fait ainsi un check-in à la date ‘d’ pour une durée ‘t’ dépendant du type de lieu. Si une personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, la personne ci-avant reçoit une notification de contact warning, dit à ‘risque modéré‘ (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors la personne reçoit une notification classique de contact tracing à ‘risque élevé’. »

    Aussi, en plus du 2D-DOC, un QR-Code « classique » est présent sur les attestations de vaccination. Là encore, il est lisible par n’importe qui et contient un lien de la forme :

    https://bonjour.tousanticovid.gouv.fr/app/wallet?v=DxxxxxxxCette URL contient l’ensemble des informations du 2D-DOC (après le wallet?v=), sans protection particulière. Sur Twitter, le compte TousAntiCovid explique : « L'ajout d'un QR Code sur le document permet notamment un scan simplifié avec de nombreux smartphones sans ouvrir immédiatement l'application TousAntiCovid. Le Deeplink qu'il contient offre également plus de liberté pour l'intégrer dans certains services web ».

    Nom : anti.png
Affichages : 7107
Taille : 12,3 Ko

    Et TousAntiCovid-Verif, le système de vérification à l'intention de certains professionnels ?

    TousAntiCovid-Carnet s’inscrit dans la stratégie du passe sanitaire, qui sera obligatoire dans certaines situations, à commencer par les événements qui rassemblent plus de 1 000 personnes. Il est aussi prévu un système permettant de vérifier l’authenticité des justificatifs qui sont contenus dans cette rubrique, ou qui sont présentés sur une feuille de papier.

    Ce système consiste en une autre application, appelée TousAntiCovid-Verif, qui n’est pas à destination du public, mais de certains professionnels (comme les compagnies aériennes, pour vérifier la validité des documents sanitaires avant l’embarquement et déterminer si vous pouvez effectivement voyager).

    Même si elle est réservée à certaines personnes et services autorisés (un usager lambda n'a pas le droit de s'en servir), dans les faits, il n’est pas dit que des usages inappropriés surviennent. Il est difficile de s’assurer que seules les bonnes personnes s’en servent, malgré un rappel des sanctions possibles.

    Concernant ces personnes habilitées, Cédric O a indiqué au Parisien qu'elles ne « sauront que le nom, le prénom et la date de naissance de la personne concernée ». Ce sont effectivement les seules informations affichées par TousAntiCovid Verif, mais uniquement, parce que l’application « cache » le reste. Cela n’empêche pas une personne utilisant une autre application d'y accéder sans peine.

    « Pour les compagnies aériennes, il y aura une version spécifique, car elles ont obligation d’avoir accès au contenu détaillé, avec la date de vaccination, le type de vaccination, etc. Elles pourront la télécharger sur les stores, avec un contrôle d’accès par identifiant », ajoutait Cédric O. Comme nous venons de le voir, une telle distinction n'a pas vraiment de sens puisque n’importe qui peut accéder au même niveau d'information.

    Christian Quest propose une alternative pour protéger les données des utilisateurs : « Plutôt que d’indiquer en clair nom, prénom et date de naissance, utiles pour vérifier quand c’est nécessaire la correspondance avec une pièce d’identité, on aurait pu stocker une empreinte de ces informations (un hash) dans le 2D-DOC », comme c’est le cas avec les mots de passe par exemple.

    De plus, « la partie données de santé aurait pu être chiffrée, et donc accessible si besoin uniquement aux détenteurs d’une clé de déchiffrement dont l’accès aurait pu être sécurisé », comme dans le cas des compagnies aériennes ainsi que l’indiquait le secrétaire d'État chargé de la Transition numérique.

    Sources : Service Public, CNIL, Broken By Design, Christian Quest
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  11. #551
    Membre expert
    Inscrit en
    juin 2009
    Messages
    1 071
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 1 071
    Points : 3 317
    Points
    3 317
    Par défaut
    Je comprends même pas que des devs acceptent ce genre de specs... Ya vraiment des têtes qui méritent du tomber, autant du côté des décideurs que du côté des devs immoraux qui acceptent ce genre de chose...

  12. #552
    Membre expert Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 042
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 042
    Points : 3 874
    Points
    3 874
    Par défaut
    Pourquoi est-ce que je ne suis même plus étonné?

    Pour moi, ce genre de choses montrent clairement où les responsables mettent les priorités. Disons-le franchement: notre sécurité et celle de nos données ils s'en tapent complètement. Ce qui compte pour eux, c'est la collecte, le traçage, l'identification.

    Le Deeplink qu'il contient offre également plus de liberté pour l'intégrer dans certains services web
    C'est marrant ces éléments de langage. Un truc qu'on veut nous forcer à utiliser mais qui "offre plus de liberté"
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  13. #553
    Membre éprouvé
    Profil pro
    programmeur du dimanche
    Inscrit en
    novembre 2003
    Messages
    260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : novembre 2003
    Messages : 260
    Points : 906
    Points
    906
    Par défaut
    C'est d'autant plus affligeant que c'est indiscutablement illégal de divulguer des information médicales en clair, quelque soit la raison. S'ils le font leur projet est susceptible d'être attaqué et les responsables condamnés.

    - violation du secret professionnel (pénal)
    - violation de l'obligation de sécurisation des données médicales.

    Il y a des règles très simples de rédaction légale d'un certificat : Pas de divulgation des maladies et traitements de untel notamment.

    Ex : Je (identification nécessaire de l'entité rédigeant le certificat), certifie que untel (identification claire), est normalement immunisé etc.

  14. #554
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 198
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 198
    Points : 7 392
    Points
    7 392
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par AoCannaille Voir le message
    Je comprends même pas que des devs acceptent ce genre de specs... Ya vraiment des têtes qui méritent du tomber, autant du côté des décideurs que du côté des devs immoraux qui acceptent ce genre de chose...
    Si on affirme aux devs qu'ils ont à charge de structurer la donnée et que la partie protection est assurée par une autre équipe (potentiellement inexistente ou pas encore opérationelle), on arrive vite à une situation involontaire de la part des devs.

    Ce sont en premier lieu les décideurs qui doivent tomber, ne serait-ce que parce qu'ils n'ont pas pris la mesure de leur incompétence technique à ne pas mettre dans la boucle les devs comme il se doit. La responsabilité n'incombe aux devs que s'ils ont effectivement participé au processus de décision (et donc être sanctionné en tant que décideur aussi).
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  15. #555
    Membre expert
    Inscrit en
    juin 2009
    Messages
    1 071
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 1 071
    Points : 3 317
    Points
    3 317
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    Si on affirme aux devs qu'ils ont à charge de structurer la donnée et que la partie protection est assurée par une autre équipe (potentiellement inexistente ou pas encore opérationelle), on arrive vite à une situation involontaire de la part des devs.
    Au bout d'un moment, il y a un dev qui package l'application finale et qui voit que c'est en clair... Mais je suis d'accord qu'en soit c'est toujours les responsables qui doivent prendre leurs responsabilités. Ils ne méritent pas leur salaire supérieur pour une production inférieure si le risque est également inférieur.

  16. #556
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 370
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 370
    Points : 154 881
    Points
    154 881
    Par défaut CNIL à propos du Pass sanitaire : des doutes quant à la sécurité des données transmises
    Application TousAntiCovid et Pass sanitaire : des données conservées en clair, des doutes quant à la sécurité des données transmises
    la CNIL relève les défaillances de l'application

    Depuis mercredi 9 juin 2021, un pass sanitaire est mis en place de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination. Il n'est pas obligatoire et n'est pas nécessaire pour toutes les activités relevant de la vie quotidienne : lieu de travail, grandes surfaces, services publics ou encore restaurants et cinémas. Cependant, il sera exigé pour participer à des événements accueillant plus de 1 000 personnes où le brassage du public est plus à risque au plan sanitaire : grandes salles de spectacle, événements sportifs ou culturels, festivals, foires et salons, etc.

    Le pass a deux fonctions :
    • Le pass sanitaire « activités » doit permettre la reprise de diverses activités interrompues en raison de la crise sanitaire et la réouverture des lieux fermés impliquant de grands rassemblements de personnes (à partir de 1 000 personnes).
    • Le pass sanitaire « frontières », mis en œuvre dans le cadre du futur certificat numérique Covid de l’Union européenne (qui entrera en vigueur le 1er juillet prochain). Il doit permettre de faciliter la libre circulation au sein de l’Union européenne.

    Le principe du passe sanitaire, accompagné d’un certain nombre de garanties, a été décidé par la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire. Après avoir rendu un premier avis sur le principe du passe sanitaire le 12 mai dernier, la CNIL s’est prononcée, le 7 juin 2021, sur les conditions de sa mise en œuvre.

    Des données conservées en clair

    Christian Quest (porte-parole d’OpenStreetMap France, entre autres), a noté que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».

    Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées.

    Même constat du côté de la CNIL qui déclare :

    « d’une part, les données relatives aux preuves sont conservées en clair au sein des codes-barres présents sur les justificatifs et, d’autre part, que l’application "TousAntiCovid Verif" est librement accessible sur les magasins d’applications mobiles. Elle relève également que les codes utilisés pour le certificat européen contiendront également les données en clair. Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler ».

    Nom : tous.png
Affichages : 8059
Taille : 152,9 Ko

    Des doutes quant à la sécurité des données transmises

    Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises. Si la Commission ne remet pas en cause la conformité de cette architecture au RGPD, elle rappelle « qu’à l’issue de la vérification, aucune donnée ne devra être conservée par le serveur central ».

    En outre, afin de mettre en place l’architecture la plus protectrice possible, la Commission invite le Gouvernement à étudier la mise en place d’une version davantage décentralisée, dans laquelle les règles de gestion pourraient être mises à jour dynamiquement et proactivement par le serveur central, afin de limiter les envois de données à ce serveur tout en garantissant l’application des règles mises à jour.

    De plus, la Commission estime que le contrôle de la validité des justificatifs pourrait être réalisé en local pour les opérations de contrôle du passe sanitaire relatif aux grands rassemblements de personnes. En effet, dans cette hypothèse les règles de gestion sont simples et maitrisées par le Gouvernement. La Commission considère donc qu’il n’y a aucun obstacle à ce que le contrôle de la validité des preuves soit effectué en local, la seule donnée pouvant être échangée avec le serveur central étant la signature électronique de la preuve. Elle invite donc le Gouvernement à faire évoluer le fonctionnement de l’application afin de permettre un contrôle local des données des justificatifs.

    Le fonctionnement de l’application TousAntiCovid Verif

    Le contrôle du passe sanitaire doit se faire par les personnes habilitées à contrôler les justificatifs, au moyen de l’application mobile TousAntiCovid Verif.

    Conformément au principe de minimisation des données, les personnes habilitées à contrôler les justificatifs à l’aide de l’application TousAntiCovid Verif n’auront accès qu’aux seuls noms, prénoms et date de naissance de la personne concernée ainsi qu’au résultat positif ou négatif de détention d’un justificatif conforme.

    La CNIL rappelle toutefois qu’il est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé. Elle a invité le Gouvernement à mettre en place des mesures d’informations afin de sensibiliser le public sur la nécessité de protéger leurs justificatifs et de ne pas les exposer en dehors des contrôles prévus par le passe sanitaire (ne pas présenter les justificatifs dans des lieux qui ne sont pas concernés par le passe sanitaire, ne pas les publier sur les réseaux sociaux, etc.).

    La CNIL rappelle qu’aucune donnée personnelle ne devra être conservée ni par le serveur central ni par l’application TousAntiCovid Verif à l’issue de la vérification du justificatif.

    En outre, la CNIL constate que le code source de l’application « TousAntiCovid Vérif », déjà disponible sur les magasins d’applications mobiles (« AppStore » et « Playstore »), n’a pas été rendu public. La Commission regrette cette non-publication et appelle le Gouvernement à rendre public ce code source expurgé, le cas échéant, des secrets permettant de sécuriser les transmissions de données avec les serveurs centraux.

    Et les risques de fraudes ?

    Interrogé sur le nombre de QR codes qui ont pu être falsifiés à ce jour, Cédric O n'avance pas de chiffre, mais affirme que « les équipes d'Air France sont confrontées à plusieurs tentatives de fraude par semaine ». Alors que l'Europe avance sur son projet de "green pass" à l'échelle du continent, Cédric O observe que « tout le monde en Europe fait état de détection de fausses preuves de tests, voire de vaccins ».

    « C'est important pour nous de sécuriser cet élément-là », souligne-t-il, notant que l'un des avantages du pass sanitaire est de « faire en sorte que les preuves présentées soient infalsifiables ».

    Des faux sont d'ores et déjà en circulation. D'ailleurs, une infirmière a été soupçonnée d'avoir délivré des certificats de vaccination contre rémunération. Elle travaillait, depuis le mois de janvier, au centre de vaccination anti-covid de l’hôpital Saint-Anne à Paris. Prise en flagrant délit, elle vient d’être suspendue par la direction de l’établissement hospitalier.

    « Moi, je l'ai observée pendant deux ou trois semaines », raconte un membre du personnel, qui a souhaité rester anonyme. « Elle disait aux autres infirmières : 'C'est pour moi... il y a des gens qui vont arriver, c'est pour moi!'. Elle les faisait venir dans son box. Normalement il y a deux infirmières par box avec un paravent de séparation pour l'intimité des personnes. Mais là, elle demandait à sa collègue de sortir. Elle faisait ça avec au moins une dizaine de personnes par journée travaillée. En fait, elle ne vaccinait pas les gens, mais elle se faisait payer pour qu'ils repartent avec un QR Code frauduleux, à priori pour pouvoir partir à l'étranger ».

    Nadine Phan, directrice des soins à l’hôpital Saint-Anne, n'a cependant pas confirmé que cette personne recevait de l'argent et n'a pas pu se prononcer quant aux motifs de la fraude.

    Certains membres de l'équipe ont pris contact avec leur hiérarchie. Les deux chefs de service sont informés et mercredi dernier, quand l'infirmière demande à se charger personnellement d'un couple en faisant sortir, une nouvelle fois, sa collègue, un médecin est alerté et intervient. « Normalement, on désinfecte la peau des personnes à vacciner avec un produit orange. Le médecin a voulu vérifier si les personnes avaient bien été vaccinées et il n'y avait aucune trace de désinfectant : ni colorant ni pansement. Elle a été prise en flagrant délit. Ça a été un choc.... Et ça pose un problème de santé publique parce que les personnes qui ont obtenu un faux certificat de vaccination courent un risque... et elles font courir un risque aux autres ».

    Cependant, les personnes qui en ont bénéficié devraient rapidement être identifiées, car ces fameux QR Codes sont nominatifs. En effet, selon les concepteurs de l’application de contrôle, la falsification est impossible. « Si vous prenez le QR Code d’un membre de votre famille, au moment du contrôle, par comparaison avec le titre d’identité, on verra l’écart », assure Agnès Diallo, directrice activité services numériques à l’Imprimerie nationale (In groupe).

    Pour rappel, les fraudes aux certificats de vaccination sont passibles de 45 000 euros d’amende.

    Source : avis de la CNIL

    Voir aussi :

    L'UE s'apprête à dévoiler un portefeuille numérique adapté à la vie post-Covid pour permettre aux citoyens d'accéder aux services publics et privés en ligne
    Covid-19 : accord trouvé sur le pass sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
    L'adoption de l'IA par les entreprises en Europe accélérée par la COVID, mais seules 27 % l'ont effectivement déployé dans le cadre de leurs activités, selon IBM
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  17. #557
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 198
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 198
    Points : 7 392
    Points
    7 392
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises.
    Des doutes...
    Des doutes ?
    Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
    Elle se fout de qui là, la CNIL ?

    Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !

    Citation Envoyé par Stéphane le calme Voir le message
    Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes
    C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.

    Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  18. #558
    Membre expert Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 042
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 042
    Points : 3 874
    Points
    3 874
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    Des doutes...
    Des doutes ?
    Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
    Elle se fout de qui là, la CNIL ?
    Elle se fout de nous, comme tous les autres!


    Citation Envoyé par Matthieu Vergne Voir le message
    C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.
    C'est une preuve de plus que la sécurité de données, le gouvernement s'en taponne.


    Citation Envoyé par Matthieu Vergne Voir le message
    Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
    Gouvernement d'escrocs, oui. Ils sont très compétents pour escroquer les Français, comme leurs prédécesseurs.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  19. #559
    Membre extrêmement actif

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    3 001
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 001
    Points : 4 237
    Points
    4 237
    Par défaut
    Bonjour,

    Quand je lis "passe sanitaire" , j'ai l'impression qu'on parle de :

    > l'étoile jaune des juifs
    > la différence de couleur de peau (l'apartheid comme en Afrique du Sud)
    > le crédit social comme en Chine

    En gros celui qui n'est pas vacciné (a cause de n'importe facteur), ou qu'il l'est partiellement à moins de "droit" ... Cela s'appelle de la ségrégation médicale

    ---

    Tiens bientôt on aura un passeport pour "humain de compagnie" :

    Nom : passeport-chien.jpg
Affichages : 2857
Taille : 132,7 Ko

    Nom : passeport-chienff.jpg
Affichages : 2839
Taille : 20,4 Ko

    ---

    Et les risques de fraudes ?
    Déjà en cas de piratage d'un DMP ou d'un compte ameli ... l'usurpateur/fraudeur peut utiliser votre passeport vaccinal en votre nom ! Donc a accès à votre secret médical ...

    Puis bon se "passeport" n'a rien d'anonyme ... Vu qu'on donne son nom et prénom dessus !

    Donc tout à fait en terme de "sécurité des données" , c'est une vaste mascarde !



    Citation Envoyé par Matthieu Vergne
    Elle se fout de qui là, la CNIL ?

    Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !
    Citation Envoyé par kain_tn
    Elle se fout de nous, comme tous les autres!
    Encore une institution qui est plu à la page ...

  20. #560
    Membre extrêmement actif
    Homme Profil pro
    Développeur Java
    Inscrit en
    septembre 2011
    Messages
    637
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : septembre 2011
    Messages : 637
    Points : 2 375
    Points
    2 375
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Bonjour,

    Quand je lis "passe sanitaire" , j'ai l'impression qu'on parle de :

    > l'étoile jaune des juifs
    > la différence de couleur de peau (l'apartheid comme en Afrique du Sud)
    > le crédit social comme en Chine

    En gros celui qui n'est pas vacciné (a cause de n'importe facteur), ou qu'il l'est partiellement à moins de "droit" ... Cela s'appelle de la ségrégation médicale
    Moui, mais non. Enfin, pas vraiment. Ca peut potentiellement entrainer des dérives (et vu nos gouvernants, c'est fort possible), mais pour le coup, ce pass n'est pas basé sur de l'idéologie, mais sur des faits scientifiques. Ca fait une sacrée différence. Là où ça serait de la ségrégation, c'est si le vaccin n'était pas accessibles à certaines catégories de population.

Discussions similaires

  1. Réponses: 9
    Dernier message: 19/02/2021, 01h41
  2. Réponses: 45
    Dernier message: 28/03/2019, 12h14
  3. Réponses: 1
    Dernier message: 18/04/2017, 14h41
  4. Réponses: 458
    Dernier message: 31/03/2017, 01h30
  5. Réponses: 0
    Dernier message: 11/06/2010, 20h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo