Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Bonjour,
Voila ... Quid d'un faux test papier avec QR codeEnvoyé par kain_tn
Entre ce qu'exige la loi et la réalité , tu as des commerçants verreux et peu scrupuleux
Celle d'un tiers oui ...
Sur tout anticovid, je demande a voir leur bricolage en le test pcr et le qr code.
C'est ce que je dis depuis des mois ...
Pas de touriste, pas de rentrée d'argent ... Donc l'économie est à l'arrêt.
Logiquement, le logiciel de lecture du QRCODE récupère diverses informations dont le nom de la personne. Prendre le QRCODE d’un proche posera problème lors d’un embarquement à l’aéroport, mais pourrait fonctionner dans un musée ou restaurant où l’identité n’est pas contrôlée.
D'après ce que je vois sur la capture, c'est un code 2D-DOC et non un QR code. C'est un système qui a l'air très bien conçu, qui contient les infos (ex : l'autorité truc certifie que untel est vacciné), le hash de ces données et la signature du hash.quid des codes imprimés sur du papier?
Pour vérifier, il faut une appli qui scanne ce code et vérifie la signature (c'est standard, il y en a déjà sur les store). Ainsi, les données ne transitent jamais par un serveur.
On peut même faire un système partiellement hors ligne si l'appli cache les clés publiques courantes.
C'est "infalsifiable" (à moins de voler en secret les clés de l'autorité de certification, lesquelles sont révocables) quelque soit le support, écran ou papier et n'importe quel téléphone peut faire la vérification (les appli de lecture sont gratuites).
À mon avis, c'est une excellente idée d'utiliser ce système 2D-DOC qui il me semble est français et normalisé.
Comme ça, ceux qui veulent un papier ou un carnet de santé peuvent utiliser une impression papier, et ceux qui veulent l'appli peuvent.
Chouette ! La surveillance centralisée progresse. Les fictions post-1984 totalitaires (au sens littéral : connaissance et contrôle de tout) façon romans d'Alain Damasio sont de moins en moins des fictions. Nous seront parfaitement en sécurité, enfin si les autorité (et équivalents privés) n'abusent pas de leur pouvoir, ce qui serait nouveau. Mais gare au moindre écart. Et les systèmes automatiques pour interdire certains lieux à ceux qui n'ont pas les qualifications requises ne sont pas loinSelon le gouvernement, la connexion sécurisée se fera via FranceConnect. De plus, plus tard dans l'année, ce code QR pourra être lu par les terminaux NEO des forces de l'ordre en France.
Linux Mint 21.3 Mate 1.26.
Les armes nucléaires sont interdites depuis le 22 janvier 2021. Y a plus qu'à ...
Bonjour,
> privatisation de la sécurité
> flicage des citoyens lambda qui n'entrent pas dans une case
> amendes et ou sanctions automatisées (même arbitrairement ou à cause d'une fraude)
> clivage entre ceux autorisés et ceux interdits
Vu tout ce que l'on nous a pondu , je suis certains qu'on va y arriver.
Sur le plan éthique, cela va poser de sérieux problèmesvu qu'on a ouvert une boite de pandore .
J'appellerai cela, une personne extérieur ,qui nous déposséde de nous même et notre façon de penser et vivre. Une forme de "vous n'êtes" plus propriétaire de votre vous même. Ou vous rend vous même mercantile, vous êtes un produit comme on jette un vulgaire détritus à la poubelle.
En attendant l'intégration des données médicales non Covid (autres vaccins, grosses maladies déjà contractées comme la varicelle...) et les données non-médicales (infos fiscales, obligations vis-à-vis de la Défense Nationale, crédits bancaires en cours...).
Puis il faut aussi savoir parler vaccin au moins vieux. La pub (mensongère au demeurant) de la mamie vaccinée qui retrouve ses petits-enfants normalement comme avant la Covid ça va moins bien marcher sur les moins de 50 ans.Le chantage au vaccin pour avoir une vie sociale (restaurants, bars, voyages, sport, sorties culturelles...) sera beaucoup plus parlant auprès de ces gens là.
Il faut donner une impression d'action. Tu ne peux pas te contenter de rappeler qu'il existe déjà un dispositif utile pour ça, surtout quand il a été mis en place par un précédent gouvernement qui est désormais dans l'opposition. En Macronie, informatique + santé = TousAntiCovid, pas le DMP mis en place sous un gouvernement UMP de droite et déjà réformé par le PS de gauche.2) Qu'elle fait doublon avec le DMP
https://www.dmp.fr/version
On se moque de qui ? On crée un webservice censé remplacer le carnet de santé bleu ... Qu'on doublonne d'une appli four tout . Faut qu'on m'explique la
?
Si je me fais vacciné, j'utiliserai mon DMP et pas "tousantimachin-truc" ... et leur nom à rallonge.
De plus le DMP n'est pas exempt de polémiques, que l'opposition se ferait un plaisir de ressortir du tiroir pour son traditionnel plaisir de polémiquer pour polémiquer.
-----
Bref les joies de la tournure politique de la résolution du Covid, avec des chevaux de Troie (passeport vaccinal, travail dominical renforcé...) et des mesures sanitaires avec des relents de "surtout je ne me tire pas une balle dans le pied pour les Présidentielles dans 1 an" (qui ne va pas reconfiner cet été en pleine vague de variant indien parce que les gens ne voteront pas pour toi dans 9 mois si tu les interdis de s'entasser sur les plages cet été ?).
"Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain
Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).
Nous sommes tout à fait d'accord à une réserve près : l'avenir n'est pas écrit, il se passe parfois des choses inattendues. Le pire n'est pas certain.[...]
Vu tout ce que l'on nous a pondu , je suis certains qu'on va y arriver.
Sur le plan éthique, cela va poser de sérieux problèmes
J'appellerai cela, une personne extérieur ,qui nous dépossède de nous même et notre façon de penser et vivre. Une forme de "vous n'êtes" plus propriétaire de votre vous même. Ou vous rend vous même mercantile, vous êtes un produit comme on jette un vulgaire détritus à la poubelle.
Toutes ces menaces reposent sur la passivité, la naïveté et/ou l'absence d'une large prise de conscience.
Si on croit qu'on ne peut rien faire, que c'est une fatalité comme les intempéries (qui d'ailleurs ne sont plus un phénomène "naturel" indépendant de l'activité humaine), alors on ne fait rien. Cette conviction est auto-réalisatrice.
Mais c'est vrai que dans l'immédiat on ne voit guère de raisons d'être optimiste sur ces questions.
Quoique, plus spécifiquement, l'application bidon qui est le thème initial ait plutôt fait un bide
Linux Mint 21.3 Mate 1.26.
Les armes nucléaires sont interdites depuis le 22 janvier 2021. Y a plus qu'à ...
Indignation après une fête géante improvisée au parc des Buttes-Chaumont
À un moment donné dans la vidéo on doit entendre Let Me Show You de Camisra, Shake What Your Mama Gave Ya de Dj Deeon, et après Move Your Body de Marshal Jefferson, je trouve ça sympa.Plusieurs centaines de personnes se sont regroupées dimanche dans ce parc du XIXe arrondissement de Paris sans respect des gestes barrières. L’initiative a suscité des réactions indignées sur les réseaux sociaux.
Keith Flint 1969 - 2019
De nombreuses personnes se sont réunies depuis 1 an dans des églises parfois bondées (vu à Rueil par un proche). Cela n'a apparemment suscité aucune indignation.
Linux Mint 21.3 Mate 1.26.
Les armes nucléaires sont interdites depuis le 22 janvier 2021. Y a plus qu'à ...
App TousAntiCovid et Pass sanitaire : les infos personnelles et médicales sont disponibles en clair
Application TousAntiCovid et Pass sanitaire : les informations personnelles et médicales sont disponibles en clair,
prévient Christian Quest
Mercredi 9 juin, la France va passer à une nouvelle phase du déconfinement, notamment avec la réouverture totale des bars, cafés et des restaurants, mais aussi des salles de sport et des stades. Les entreprises retrouveront une certaine marge de manœuvre au sujet du nombre minimum de jours de télétravail par semaine, comme l'a indiqué Élisabeth Borne, ministre du Travail, de l’Emploi et de l’Insertion annonçant la fin du télétravail à 100 %. Pour sa part, l’heure du couvre-feu sera repoussée à 23 heures, au lieu de 21 heures.
La Direction de l'information légale et administrative (Premier ministre) a annoncé « qu'à compter du 9 juin 2021, un pass sanitaire sera mis en place de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination. Il ne sera pas obligatoire et ne sera pas nécessaire pour toutes les activités relevant de la vie quotidienne : lieu de travail, grandes surfaces, services publics ou encore restaurants et cinémas. Il sera exigé pour participer à des événements accueillant plus de 1 000 personnes où le brassage du public est plus à risque au plan sanitaire : grandes salles de spectacle, événements sportifs ou culturels, festivals, foires et salons... ».
Dans cette optique, l'application TousAntiCovid dispose d’un carnet des tests et vaccinations, qui pourront servir dans le cadre des pass sanitaires. Pour mémoire, en avril, une fonctionnalité a été ajoutée à l'application de suivi des contacts TousAntiCovid. Appelée TousAntiCovid-Carnet, cette dernière vous permet d'ajouter les résultats de vos tests PCR et antigéniques dans l'application pour les présenter à un tiers. Elle permet également d'ajouter la preuve de votre vaccination, notamment votre certificat de vaccination, ce qui vous permettra de prendre l'avion ou d'aller à l'étranger.
Christian Quest (porte-parole d’OpenStreetMap France, entre autres), note que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».
Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées.
À ce propos, en rappelant que les données doivent « être limitées à ce qui est nécessaire (principe de minimisation) », la CNIL avait prévenu en avril que la nouvelle fonctionnalité TousAntiCovid-Carnet doit notamment respecter les garanties suivantes :
- l’utilisateur doit pouvoir en garder le contrôle ;
- le certificat doit être accessible également au format papier ;
- les données doivent être exactes, certifiées par une autorité et leur intégrité doit être garantie ;
- les données contenues dans le certificat doivent être limitées à ce qui est nécessaire (principe de minimisation) ;
- les autorités qui vérifieront le Datamatrix ne doivent pas avoir accès aux données de santé qui ont permis sa délivrance et ne doivent, en aucun cas, générer la création d’une base centralisée de données ;
- des mesures de sécurité doivent être apportées (données chiffrées, intégrité vérifiée, audits des systèmes d’information, etc.).
Un risque accru de vol d'identité
Dans un billet intitulé « Pass sanitaire et vie privée : quels sont les risques ? » publié sur Broken By Design, Florian Maury et Piotr Chmielnicki ont tenté de mettre la lumière sur le pass sanitaire. Ce document « vise à mettre au jour de fausses informations diffusées par certains membres du gouvernement, à expliquer et à illustrer pourquoi le pass sanitaire, tel qu’il est conçu, met en danger la vie privée, mais aussi des données médicales des citoyens. En outre, il accroit le risque de vol d’identité ».
« Le pass sanitaire est présenté sous la forme d’un code-barre en deux dimensions, appelé datamatrix. Ce code barre, comme son nom l’indique, encode des informations. Il est en cela similaire aux codes barres des produits que vous achetez en grande surface, et que vous passez à la caisse. Il est juste en deux dimensions et contient plus d’information. Au lieu d’un numéro qui sert à indiquer à la caisse enregistreuse la nature du produit que vous achetez, ce qui lui sert à connaitre le prix à imputer, le code-barre du pass sanitaire contient vos informations personnelles et des informations relatives à la vaccination. L’encodage de ces informations ne constitue pas une mesure de protection des données puisque n’importe qui équipé d’un dispositif de lecture de code-barres peut acquérir les données qui ont été encodées. Le pass sanitaire ne fait pas exception.
« D’après le site Service Public.fr, le pass sanitaire contient les informations suivantes :
- nom, prénom ;
- date de naissance ;
- type de certificat et résultat éventuel (test PCR ou antigénique ou vaccination première et seconde dose) ;
- type de vaccin le cas échéant ;
- date et heure du certificat.
- Le site gouvernement.fr indique la même liste.
« Nous avons analysé le contenu du pass sanitaire, à l’aide d’outils grands publics, trouvables sur n’importe quel Store d’applications, comme le Google Play Store ou l’Apple Store. Par exemple, Barcode Scanner de ZXing Team sur le Google Play Store.
« Nous affirmons que la liste dressée par les sites gouvernmentaux est incomplète.
Le pass est composé de 3 types d’informations :
- des informations techniques, qui permettent de vérifier l’authenticité du pass sanitaire ; on y retrouve des informations sur l’émetteur du pass sanitaire, ainsi que la date d’émission, et le sceau d’authenticité (une signature numérique) ;
- des informations personnelles : nom, prénom et date de naissance ;
- des informations de santé : le type de molécule injectée, le nom du vaccin reçu, le nombre de doses reçues, la date de vaccination et si ce nombre est suffisant pour être protégé de manière optimale pour la personne vaccinée.
« Au-delà de ces informations de santé, il est également possible d’inférer des informations de santé encore plus privées sur certains citoyens : ont-ils déjà été infectés par la COVID-19 (besoin que d’une seule dose) ? Sont-ils immunodéprimés (besoin de trois doses) ? Sont-ils parmi les citoyens prioritaires pour recevoir des injections tôt dans le calendrier vaccinal ?
« Ces informations dépassent largement le cadre et la finalité du pass sanitaire ».
Qu'en est-il du code QR ?
En janvier, dans un document édité par le Comité de contrôle et de liaison covid-19 (CCL-Covid), chargé de conseiller le gouvernement sur les dispositifs numériques de lutte contre la pandémie, il était prévu une nouvelle fonctionnalité à l’application française TousAntiCovid : l’utilisation de codes QR comme dispositif de traçage des contacts. Ils seraient placés à l’entrée des lieux clos, comme les restaurants et les transports en commun.
CCL-Covid a expliqué que « de manière simplifiée, un code QR sera positionné à l’entrée de certains lieux à risque (liste des lieux en cours d’identification en lien avec SPF [Santé publique France, NDLR]). La personne flashe ce code (il suffit donc d’un téléphone avec appareil photo) et fait ainsi un check-in à la date ‘d’ pour une durée ‘t’ dépendant du type de lieu. Si une personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, la personne ci-avant reçoit une notification de contact warning, dit à ‘risque modéré‘ (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors la personne reçoit une notification classique de contact tracing à ‘risque élevé’. »
Aussi, en plus du 2D-DOC, un QR-Code « classique » est présent sur les attestations de vaccination. Là encore, il est lisible par n’importe qui et contient un lien de la forme :
https://bonjour.tousanticovid.gouv.fr/app/wallet?v=DxxxxxxxCette URL contient l’ensemble des informations du 2D-DOC (après le wallet?v=), sans protection particulière. Sur Twitter, le compte TousAntiCovid explique : « L'ajout d'un QR Code sur le document permet notamment un scan simplifié avec de nombreux smartphones sans ouvrir immédiatement l'application TousAntiCovid. Le Deeplink qu'il contient offre également plus de liberté pour l'intégrer dans certains services web ».
Et TousAntiCovid-Verif, le système de vérification à l'intention de certains professionnels ?
TousAntiCovid-Carnet s’inscrit dans la stratégie du passe sanitaire, qui sera obligatoire dans certaines situations, à commencer par les événements qui rassemblent plus de 1 000 personnes. Il est aussi prévu un système permettant de vérifier l’authenticité des justificatifs qui sont contenus dans cette rubrique, ou qui sont présentés sur une feuille de papier.
Ce système consiste en une autre application, appelée TousAntiCovid-Verif, qui n’est pas à destination du public, mais de certains professionnels (comme les compagnies aériennes, pour vérifier la validité des documents sanitaires avant l’embarquement et déterminer si vous pouvez effectivement voyager).
Même si elle est réservée à certaines personnes et services autorisés (un usager lambda n'a pas le droit de s'en servir), dans les faits, il n’est pas dit que des usages inappropriés surviennent. Il est difficile de s’assurer que seules les bonnes personnes s’en servent, malgré un rappel des sanctions possibles.
Concernant ces personnes habilitées, Cédric O a indiqué au Parisien qu'elles ne « sauront que le nom, le prénom et la date de naissance de la personne concernée ». Ce sont effectivement les seules informations affichées par TousAntiCovid Verif, mais uniquement, parce que l’application « cache » le reste. Cela n’empêche pas une personne utilisant une autre application d'y accéder sans peine.
« Pour les compagnies aériennes, il y aura une version spécifique, car elles ont obligation d’avoir accès au contenu détaillé, avec la date de vaccination, le type de vaccination, etc. Elles pourront la télécharger sur les stores, avec un contrôle d’accès par identifiant », ajoutait Cédric O. Comme nous venons de le voir, une telle distinction n'a pas vraiment de sens puisque n’importe qui peut accéder au même niveau d'information.
Christian Quest propose une alternative pour protéger les données des utilisateurs : « Plutôt que d’indiquer en clair nom, prénom et date de naissance, utiles pour vérifier quand c’est nécessaire la correspondance avec une pièce d’identité, on aurait pu stocker une empreinte de ces informations (un hash) dans le 2D-DOC », comme c’est le cas avec les mots de passe par exemple.
De plus, « la partie données de santé aurait pu être chiffrée, et donc accessible si besoin uniquement aux détenteurs d’une clé de déchiffrement dont l’accès aurait pu être sécurisé », comme dans le cas des compagnies aériennes ainsi que l’indiquait le secrétaire d'État chargé de la Transition numérique.
Sources : Service Public, CNIL, Broken By Design, Christian Quest
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Je comprends même pas que des devs acceptent ce genre de specs... Ya vraiment des têtes qui méritent du tomber, autant du côté des décideurs que du côté des devs immoraux qui acceptent ce genre de chose...
Pourquoi est-ce que je ne suis même plus étonné?
Pour moi, ce genre de choses montrent clairement où les responsables mettent les priorités. Disons-le franchement: notre sécurité et celle de nos données ils s'en tapent complètement. Ce qui compte pour eux, c'est la collecte, le traçage, l'identification.
C'est marrant ces éléments de langage. Un truc qu'on veut nous forcer à utiliser mais qui "offre plus de liberté"Le Deeplink qu'il contient offre également plus de liberté pour l'intégrer dans certains services web
Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!
Code C : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
C'est d'autant plus affligeant que c'est indiscutablement illégal de divulguer des information médicales en clair, quelque soit la raison. S'ils le font leur projet est susceptible d'être attaqué et les responsables condamnés.
- violation du secret professionnel (pénal)
- violation de l'obligation de sécurisation des données médicales.
Il y a des règles très simples de rédaction légale d'un certificat : Pas de divulgation des maladies et traitements de untel notamment.
Ex : Je (identification nécessaire de l'entité rédigeant le certificat), certifie que untel (identification claire), est normalement immunisé etc.
Si on affirme aux devs qu'ils ont à charge de structurer la donnée et que la partie protection est assurée par une autre équipe (potentiellement inexistente ou pas encore opérationelle), on arrive vite à une situation involontaire de la part des devs.
Ce sont en premier lieu les décideurs qui doivent tomber, ne serait-ce que parce qu'ils n'ont pas pris la mesure de leur incompétence technique à ne pas mettre dans la boucle les devs comme il se doit. La responsabilité n'incombe aux devs que s'ils ont effectivement participé au processus de décision (et donc être sanctionné en tant que décideur aussi).
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Au bout d'un moment, il y a un dev qui package l'application finale et qui voit que c'est en clair... Mais je suis d'accord qu'en soit c'est toujours les responsables qui doivent prendre leurs responsabilités. Ils ne méritent pas leur salaire supérieur pour une production inférieure si le risque est également inférieur.
CNIL à propos du Pass sanitaire : des doutes quant à la sécurité des données transmises
Application TousAntiCovid et Pass sanitaire : des données conservées en clair, des doutes quant à la sécurité des données transmises
la CNIL relève les défaillances de l'application
Depuis mercredi 9 juin 2021, un pass sanitaire est mis en place de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination. Il n'est pas obligatoire et n'est pas nécessaire pour toutes les activités relevant de la vie quotidienne : lieu de travail, grandes surfaces, services publics ou encore restaurants et cinémas. Cependant, il sera exigé pour participer à des événements accueillant plus de 1 000 personnes où le brassage du public est plus à risque au plan sanitaire : grandes salles de spectacle, événements sportifs ou culturels, festivals, foires et salons, etc.
Le pass a deux fonctions :
- Le pass sanitaire « activités » doit permettre la reprise de diverses activités interrompues en raison de la crise sanitaire et la réouverture des lieux fermés impliquant de grands rassemblements de personnes (à partir de 1 000 personnes).
- Le pass sanitaire « frontières », mis en œuvre dans le cadre du futur certificat numérique Covid de l’Union européenne (qui entrera en vigueur le 1er juillet prochain). Il doit permettre de faciliter la libre circulation au sein de l’Union européenne.
Le principe du passe sanitaire, accompagné d’un certain nombre de garanties, a été décidé par la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire. Après avoir rendu un premier avis sur le principe du passe sanitaire le 12 mai dernier, la CNIL s’est prononcée, le 7 juin 2021, sur les conditions de sa mise en œuvre.
Des données conservées en clair
Christian Quest (porte-parole d’OpenStreetMap France, entre autres), a noté que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».
Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées.
Même constat du côté de la CNIL qui déclare :
« d’une part, les données relatives aux preuves sont conservées en clair au sein des codes-barres présents sur les justificatifs et, d’autre part, que l’application "TousAntiCovid Verif" est librement accessible sur les magasins d’applications mobiles. Elle relève également que les codes utilisés pour le certificat européen contiendront également les données en clair. Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler ».
Des doutes quant à la sécurité des données transmises
Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises. Si la Commission ne remet pas en cause la conformité de cette architecture au RGPD, elle rappelle « qu’à l’issue de la vérification, aucune donnée ne devra être conservée par le serveur central ».
En outre, afin de mettre en place l’architecture la plus protectrice possible, la Commission invite le Gouvernement à étudier la mise en place d’une version davantage décentralisée, dans laquelle les règles de gestion pourraient être mises à jour dynamiquement et proactivement par le serveur central, afin de limiter les envois de données à ce serveur tout en garantissant l’application des règles mises à jour.
De plus, la Commission estime que le contrôle de la validité des justificatifs pourrait être réalisé en local pour les opérations de contrôle du passe sanitaire relatif aux grands rassemblements de personnes. En effet, dans cette hypothèse les règles de gestion sont simples et maitrisées par le Gouvernement. La Commission considère donc qu’il n’y a aucun obstacle à ce que le contrôle de la validité des preuves soit effectué en local, la seule donnée pouvant être échangée avec le serveur central étant la signature électronique de la preuve. Elle invite donc le Gouvernement à faire évoluer le fonctionnement de l’application afin de permettre un contrôle local des données des justificatifs.
Le fonctionnement de l’application TousAntiCovid Verif
Le contrôle du passe sanitaire doit se faire par les personnes habilitées à contrôler les justificatifs, au moyen de l’application mobile TousAntiCovid Verif.
Conformément au principe de minimisation des données, les personnes habilitées à contrôler les justificatifs à l’aide de l’application TousAntiCovid Verif n’auront accès qu’aux seuls noms, prénoms et date de naissance de la personne concernée ainsi qu’au résultat positif ou négatif de détention d’un justificatif conforme.
La CNIL rappelle toutefois qu’il est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé. Elle a invité le Gouvernement à mettre en place des mesures d’informations afin de sensibiliser le public sur la nécessité de protéger leurs justificatifs et de ne pas les exposer en dehors des contrôles prévus par le passe sanitaire (ne pas présenter les justificatifs dans des lieux qui ne sont pas concernés par le passe sanitaire, ne pas les publier sur les réseaux sociaux, etc.).
La CNIL rappelle qu’aucune donnée personnelle ne devra être conservée ni par le serveur central ni par l’application TousAntiCovid Verif à l’issue de la vérification du justificatif.
En outre, la CNIL constate que le code source de l’application « TousAntiCovid Vérif », déjà disponible sur les magasins d’applications mobiles (« AppStore » et « Playstore »), n’a pas été rendu public. La Commission regrette cette non-publication et appelle le Gouvernement à rendre public ce code source expurgé, le cas échéant, des secrets permettant de sécuriser les transmissions de données avec les serveurs centraux.
Et les risques de fraudes ?
Interrogé sur le nombre de QR codes qui ont pu être falsifiés à ce jour, Cédric O n'avance pas de chiffre, mais affirme que « les équipes d'Air France sont confrontées à plusieurs tentatives de fraude par semaine ». Alors que l'Europe avance sur son projet de "green pass" à l'échelle du continent, Cédric O observe que « tout le monde en Europe fait état de détection de fausses preuves de tests, voire de vaccins ».
« C'est important pour nous de sécuriser cet élément-là », souligne-t-il, notant que l'un des avantages du pass sanitaire est de « faire en sorte que les preuves présentées soient infalsifiables ».
Des faux sont d'ores et déjà en circulation. D'ailleurs, une infirmière a été soupçonnée d'avoir délivré des certificats de vaccination contre rémunération. Elle travaillait, depuis le mois de janvier, au centre de vaccination anti-covid de l’hôpital Saint-Anne à Paris. Prise en flagrant délit, elle vient d’être suspendue par la direction de l’établissement hospitalier.
« Moi, je l'ai observée pendant deux ou trois semaines », raconte un membre du personnel, qui a souhaité rester anonyme. « Elle disait aux autres infirmières : 'C'est pour moi... il y a des gens qui vont arriver, c'est pour moi!'. Elle les faisait venir dans son box. Normalement il y a deux infirmières par box avec un paravent de séparation pour l'intimité des personnes. Mais là, elle demandait à sa collègue de sortir. Elle faisait ça avec au moins une dizaine de personnes par journée travaillée. En fait, elle ne vaccinait pas les gens, mais elle se faisait payer pour qu'ils repartent avec un QR Code frauduleux, à priori pour pouvoir partir à l'étranger ».
Nadine Phan, directrice des soins à l’hôpital Saint-Anne, n'a cependant pas confirmé que cette personne recevait de l'argent et n'a pas pu se prononcer quant aux motifs de la fraude.
Certains membres de l'équipe ont pris contact avec leur hiérarchie. Les deux chefs de service sont informés et mercredi dernier, quand l'infirmière demande à se charger personnellement d'un couple en faisant sortir, une nouvelle fois, sa collègue, un médecin est alerté et intervient. « Normalement, on désinfecte la peau des personnes à vacciner avec un produit orange. Le médecin a voulu vérifier si les personnes avaient bien été vaccinées et il n'y avait aucune trace de désinfectant : ni colorant ni pansement. Elle a été prise en flagrant délit. Ça a été un choc.... Et ça pose un problème de santé publique parce que les personnes qui ont obtenu un faux certificat de vaccination courent un risque... et elles font courir un risque aux autres ».
Cependant, les personnes qui en ont bénéficié devraient rapidement être identifiées, car ces fameux QR Codes sont nominatifs. En effet, selon les concepteurs de l’application de contrôle, la falsification est impossible. « Si vous prenez le QR Code d’un membre de votre famille, au moment du contrôle, par comparaison avec le titre d’identité, on verra l’écart », assure Agnès Diallo, directrice activité services numériques à l’Imprimerie nationale (In groupe).
Pour rappel, les fraudes aux certificats de vaccination sont passibles de 45 000 euros d’amende.
Source : avis de la CNIL
Voir aussi :
L'UE s'apprête à dévoiler un portefeuille numérique adapté à la vie post-Covid pour permettre aux citoyens d'accéder aux services publics et privés en ligne
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Des doutes...
Des doutes ?
Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
Elle se fout de qui là, la CNIL ?
Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !
C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.
Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Elle se fout de nous, comme tous les autres!Des doutes...
Des doutes ?
Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
Elle se fout de qui là, la CNIL ?
C'est une preuve de plus que la sécurité de données, le gouvernement s'en taponne.
Gouvernement d'escrocs, oui. Ils sont très compétents pour escroquer les Français, comme leurs prédécesseurs.
Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!
Code C : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
Bonjour,
Quand je lis "passe sanitaire" , j'ai l'impression qu'on parle de :
> l'étoile jaune des juifs
> la différence de couleur de peau (l'apartheid comme en Afrique du Sud)
> le crédit social comme en Chine
En gros celui qui n'est pas vacciné (a cause de n'importe facteur), ou qu'il l'est partiellement à moins de "droit" ... Cela s'appelle de la ségrégation médicale
---
Tiens bientôt on aura un passeport pour "humain de compagnie" :
---
Déjà en cas de piratage d'un DMP ou d'un compte ameli ... l'usurpateur/fraudeur peut utiliser votre passeport vaccinal en votre nom ! Donc a accès à votre secret médical ...Et les risques de fraudes ?
Puis bon se "passeport" n'a rien d'anonyme ... Vu qu'on donne son nom et prénom dessus !
Donc tout à fait en terme de "sécurité des données" , c'est une vaste mascarde !
Encore une institution qui est plu à la page ...
Moui, mais non. Enfin, pas vraiment. Ca peut potentiellement entrainer des dérives (et vu nos gouvernants, c'est fort possible), mais pour le coup, ce pass n'est pas basé sur de l'idéologie, mais sur des faits scientifiques. Ca fait une sacrée différence. Là où ça serait de la ségrégation, c'est si le vaccin n'était pas accessibles à certaines catégories de population.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager