2 pièce(s) jointe(s)
App TousAntiCovid et Pass sanitaire : les infos personnelles et médicales sont disponibles en clair
Application TousAntiCovid et Pass sanitaire : les informations personnelles et médicales sont disponibles en clair,
prévient Christian Quest
Mercredi 9 juin, la France va passer à une nouvelle phase du déconfinement, notamment avec la réouverture totale des bars, cafés et des restaurants, mais aussi des salles de sport et des stades. Les entreprises retrouveront une certaine marge de manœuvre au sujet du nombre minimum de jours de télétravail par semaine, comme l'a indiqué Élisabeth Borne, ministre du Travail, de l’Emploi et de l’Insertion annonçant la fin du télétravail à 100 %. Pour sa part, l’heure du couvre-feu sera repoussée à 23 heures, au lieu de 21 heures.
La Direction de l'information légale et administrative (Premier ministre) a annoncé « qu'à compter du 9 juin 2021, un pass sanitaire sera mis en place de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination. Il ne sera pas obligatoire et ne sera pas nécessaire pour toutes les activités relevant de la vie quotidienne : lieu de travail, grandes surfaces, services publics ou encore restaurants et cinémas. Il sera exigé pour participer à des événements accueillant plus de 1 000 personnes où le brassage du public est plus à risque au plan sanitaire : grandes salles de spectacle, événements sportifs ou culturels, festivals, foires et salons... ».
Dans cette optique, l'application TousAntiCovid dispose d’un carnet des tests et vaccinations, qui pourront servir dans le cadre des pass sanitaires. Pour mémoire, en avril, une fonctionnalité a été ajoutée à l'application de suivi des contacts TousAntiCovid. Appelée TousAntiCovid-Carnet, cette dernière vous permet d'ajouter les résultats de vos tests PCR et antigéniques dans l'application pour les présenter à un tiers. Elle permet également d'ajouter la preuve de votre vaccination, notamment votre certificat de vaccination, ce qui vous permettra de prendre l'avion ou d'aller à l'étranger.
Christian Quest (porte-parole d’OpenStreetMap France, entre autres), note que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».
Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées.
À ce propos, en rappelant que les données doivent « être limitées à ce qui est nécessaire (principe de minimisation) », la CNIL avait prévenu en avril que la nouvelle fonctionnalité TousAntiCovid-Carnet doit notamment respecter les garanties suivantes :
- l’utilisateur doit pouvoir en garder le contrôle ;
- le certificat doit être accessible également au format papier ;
- les données doivent être exactes, certifiées par une autorité et leur intégrité doit être garantie ;
- les données contenues dans le certificat doivent être limitées à ce qui est nécessaire (principe de minimisation) ;
- les autorités qui vérifieront le Datamatrix ne doivent pas avoir accès aux données de santé qui ont permis sa délivrance et ne doivent, en aucun cas, générer la création d’une base centralisée de données ;
- des mesures de sécurité doivent être apportées (données chiffrées, intégrité vérifiée, audits des systèmes d’information, etc.).
Un risque accru de vol d'identité
Dans un billet intitulé « Pass sanitaire et vie privée : quels sont les risques ? » publié sur Broken By Design, Florian Maury et Piotr Chmielnicki ont tenté de mettre la lumière sur le pass sanitaire. Ce document « vise à mettre au jour de fausses informations diffusées par certains membres du gouvernement, à expliquer et à illustrer pourquoi le pass sanitaire, tel qu’il est conçu, met en danger la vie privée, mais aussi des données médicales des citoyens. En outre, il accroit le risque de vol d’identité ».
« Le pass sanitaire est présenté sous la forme d’un code-barre en deux dimensions, appelé datamatrix. Ce code barre, comme son nom l’indique, encode des informations. Il est en cela similaire aux codes barres des produits que vous achetez en grande surface, et que vous passez à la caisse. Il est juste en deux dimensions et contient plus d’information. Au lieu d’un numéro qui sert à indiquer à la caisse enregistreuse la nature du produit que vous achetez, ce qui lui sert à connaitre le prix à imputer, le code-barre du pass sanitaire contient vos informations personnelles et des informations relatives à la vaccination. L’encodage de ces informations ne constitue pas une mesure de protection des données puisque n’importe qui équipé d’un dispositif de lecture de code-barres peut acquérir les données qui ont été encodées. Le pass sanitaire ne fait pas exception.
« D’après le site Service Public.fr, le pass sanitaire contient les informations suivantes :
- nom, prénom ;
- date de naissance ;
- type de certificat et résultat éventuel (test PCR ou antigénique ou vaccination première et seconde dose) ;
- type de vaccin le cas échéant ;
- date et heure du certificat.
- Le site gouvernement.fr indique la même liste.
« Nous avons analysé le contenu du pass sanitaire, à l’aide d’outils grands publics, trouvables sur n’importe quel Store d’applications, comme le Google Play Store ou l’Apple Store. Par exemple, Barcode Scanner de ZXing Team sur le Google Play Store.
« Nous affirmons que la liste dressée par les sites gouvernmentaux est incomplète.
Le pass est composé de 3 types d’informations :
- des informations techniques, qui permettent de vérifier l’authenticité du pass sanitaire ; on y retrouve des informations sur l’émetteur du pass sanitaire, ainsi que la date d’émission, et le sceau d’authenticité (une signature numérique) ;
- des informations personnelles : nom, prénom et date de naissance ;
- des informations de santé : le type de molécule injectée, le nom du vaccin reçu, le nombre de doses reçues, la date de vaccination et si ce nombre est suffisant pour être protégé de manière optimale pour la personne vaccinée.
« Au-delà de ces informations de santé, il est également possible d’inférer des informations de santé encore plus privées sur certains citoyens : ont-ils déjà été infectés par la COVID-19 (besoin que d’une seule dose) ? Sont-ils immunodéprimés (besoin de trois doses) ? Sont-ils parmi les citoyens prioritaires pour recevoir des injections tôt dans le calendrier vaccinal ?
« Ces informations dépassent largement le cadre et la finalité du pass sanitaire ».
Qu'en est-il du code QR ?
En janvier, dans un document édité par le Comité de contrôle et de liaison covid-19 (CCL-Covid), chargé de conseiller le gouvernement sur les dispositifs numériques de lutte contre la pandémie, il était prévu une nouvelle fonctionnalité à l’application française TousAntiCovid : l’utilisation de codes QR comme dispositif de traçage des contacts. Ils seraient placés à l’entrée des lieux clos, comme les restaurants et les transports en commun.
CCL-Covid a expliqué que « de manière simplifiée, un code QR sera positionné à l’entrée de certains lieux à risque (liste des lieux en cours d’identification en lien avec SPF [Santé publique France, NDLR]). La personne flashe ce code (il suffit donc d’un téléphone avec appareil photo) et fait ainsi un check-in à la date ‘d’ pour une durée ‘t’ dépendant du type de lieu. Si une personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, la personne ci-avant reçoit une notification de contact warning, dit à ‘risque modéré‘ (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors la personne reçoit une notification classique de contact tracing à ‘risque élevé’. »
Aussi, en plus du 2D-DOC, un QR-Code « classique » est présent sur les attestations de vaccination. Là encore, il est lisible par n’importe qui et contient un lien de la forme :
https://bonjour.tousanticovid.gouv.fr/app/wallet?v=DxxxxxxxCette URL contient l’ensemble des informations du 2D-DOC (après le wallet?v=), sans protection particulière. Sur Twitter, le compte TousAntiCovid explique : « L'ajout d'un QR Code sur le document permet notamment un scan simplifié avec de nombreux smartphones sans ouvrir immédiatement l'application TousAntiCovid. Le Deeplink qu'il contient offre également plus de liberté pour l'intégrer dans certains services web ».
Et TousAntiCovid-Verif, le système de vérification à l'intention de certains professionnels ?
TousAntiCovid-Carnet s’inscrit dans la stratégie du passe sanitaire, qui sera obligatoire dans certaines situations, à commencer par les événements qui rassemblent plus de 1 000 personnes. Il est aussi prévu un système permettant de vérifier l’authenticité des justificatifs qui sont contenus dans cette rubrique, ou qui sont présentés sur une feuille de papier.
Ce système consiste en une autre application, appelée TousAntiCovid-Verif, qui n’est pas à destination du public, mais de certains professionnels (comme les compagnies aériennes, pour vérifier la validité des documents sanitaires avant l’embarquement et déterminer si vous pouvez effectivement voyager).
Même si elle est réservée à certaines personnes et services autorisés (un usager lambda n'a pas le droit de s'en servir), dans les faits, il n’est pas dit que des usages inappropriés surviennent. Il est difficile de s’assurer que seules les bonnes personnes s’en servent, malgré un rappel des sanctions possibles.
Concernant ces personnes habilitées, Cédric O a indiqué au Parisien qu'elles ne « sauront que le nom, le prénom et la date de naissance de la personne concernée ». Ce sont effectivement les seules informations affichées par TousAntiCovid Verif, mais uniquement, parce que l’application « cache » le reste. Cela n’empêche pas une personne utilisant une autre application d'y accéder sans peine.
« Pour les compagnies aériennes, il y aura une version spécifique, car elles ont obligation d’avoir accès au contenu détaillé, avec la date de vaccination, le type de vaccination, etc. Elles pourront la télécharger sur les stores, avec un contrôle d’accès par identifiant », ajoutait Cédric O. Comme nous venons de le voir, une telle distinction n'a pas vraiment de sens puisque n’importe qui peut accéder au même niveau d'information.
Christian Quest propose une alternative pour protéger les données des utilisateurs : « Plutôt que d’indiquer en clair nom, prénom et date de naissance, utiles pour vérifier quand c’est nécessaire la correspondance avec une pièce d’identité, on aurait pu stocker une empreinte de ces informations (un hash) dans le 2D-DOC », comme c’est le cas avec les mots de passe par exemple.
De plus, « la partie données de santé aurait pu être chiffrée, et donc accessible si besoin uniquement aux détenteurs d’une clé de déchiffrement dont l’accès aurait pu être sécurisé », comme dans le cas des compagnies aériennes ainsi que l’indiquait le secrétaire d'État chargé de la Transition numérique.
Sources : Service Public, CNIL, Broken By Design, Christian Quest
1 pièce(s) jointe(s)
CNIL à propos du Pass sanitaire : des doutes quant à la sécurité des données transmises
Application TousAntiCovid et Pass sanitaire : des données conservées en clair, des doutes quant à la sécurité des données transmises
la CNIL relève les défaillances de l'application
Depuis mercredi 9 juin 2021, un pass sanitaire est mis en place de façon temporaire pour accompagner les Français au retour à une vie normale tout en minimisant les risques de contamination. Il n'est pas obligatoire et n'est pas nécessaire pour toutes les activités relevant de la vie quotidienne : lieu de travail, grandes surfaces, services publics ou encore restaurants et cinémas. Cependant, il sera exigé pour participer à des événements accueillant plus de 1 000 personnes où le brassage du public est plus à risque au plan sanitaire : grandes salles de spectacle, événements sportifs ou culturels, festivals, foires et salons, etc.
Le pass a deux fonctions :
- Le pass sanitaire « activités » doit permettre la reprise de diverses activités interrompues en raison de la crise sanitaire et la réouverture des lieux fermés impliquant de grands rassemblements de personnes (à partir de 1 000 personnes).
- Le pass sanitaire « frontières », mis en œuvre dans le cadre du futur certificat numérique Covid de l’Union européenne (qui entrera en vigueur le 1er juillet prochain). Il doit permettre de faciliter la libre circulation au sein de l’Union européenne.
Le principe du passe sanitaire, accompagné d’un certain nombre de garanties, a été décidé par la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire. Après avoir rendu un premier avis sur le principe du passe sanitaire le 12 mai dernier, la CNIL s’est prononcée, le 7 juin 2021, sur les conditions de sa mise en œuvre.
Des données conservées en clair
Christian Quest (porte-parole d’OpenStreetMap France, entre autres), a noté que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QRCode et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur https://attestation-vaccin.ameli.fr/attestation) contiennent des données personnelles et des données de santé ».
Sans compter que « ces données sont en “clair” pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre appli qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées.
Même constat du côté de la CNIL qui déclare :
« d’une part, les données relatives aux preuves sont conservées en clair au sein des codes-barres présents sur les justificatifs et, d’autre part, que l’application "TousAntiCovid Verif" est librement accessible sur les magasins d’applications mobiles. Elle relève également que les codes utilisés pour le certificat européen contiendront également les données en clair. Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler ».
Des doutes quant à la sécurité des données transmises
Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises. Si la Commission ne remet pas en cause la conformité de cette architecture au RGPD, elle rappelle « qu’à l’issue de la vérification, aucune donnée ne devra être conservée par le serveur central ».
En outre, afin de mettre en place l’architecture la plus protectrice possible, la Commission invite le Gouvernement à étudier la mise en place d’une version davantage décentralisée, dans laquelle les règles de gestion pourraient être mises à jour dynamiquement et proactivement par le serveur central, afin de limiter les envois de données à ce serveur tout en garantissant l’application des règles mises à jour.
De plus, la Commission estime que le contrôle de la validité des justificatifs pourrait être réalisé en local pour les opérations de contrôle du passe sanitaire relatif aux grands rassemblements de personnes. En effet, dans cette hypothèse les règles de gestion sont simples et maitrisées par le Gouvernement. La Commission considère donc qu’il n’y a aucun obstacle à ce que le contrôle de la validité des preuves soit effectué en local, la seule donnée pouvant être échangée avec le serveur central étant la signature électronique de la preuve. Elle invite donc le Gouvernement à faire évoluer le fonctionnement de l’application afin de permettre un contrôle local des données des justificatifs.
Le fonctionnement de l’application TousAntiCovid Verif
Le contrôle du passe sanitaire doit se faire par les personnes habilitées à contrôler les justificatifs, au moyen de l’application mobile TousAntiCovid Verif.
Conformément au principe de minimisation des données, les personnes habilitées à contrôler les justificatifs à l’aide de l’application TousAntiCovid Verif n’auront accès qu’aux seuls noms, prénoms et date de naissance de la personne concernée ainsi qu’au résultat positif ou négatif de détention d’un justificatif conforme.
La CNIL rappelle toutefois qu’il est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé. Elle a invité le Gouvernement à mettre en place des mesures d’informations afin de sensibiliser le public sur la nécessité de protéger leurs justificatifs et de ne pas les exposer en dehors des contrôles prévus par le passe sanitaire (ne pas présenter les justificatifs dans des lieux qui ne sont pas concernés par le passe sanitaire, ne pas les publier sur les réseaux sociaux, etc.).
La CNIL rappelle qu’aucune donnée personnelle ne devra être conservée ni par le serveur central ni par l’application TousAntiCovid Verif à l’issue de la vérification du justificatif.
En outre, la CNIL constate que le code source de l’application « TousAntiCovid Vérif », déjà disponible sur les magasins d’applications mobiles (« AppStore » et « Playstore »), n’a pas été rendu public. La Commission regrette cette non-publication et appelle le Gouvernement à rendre public ce code source expurgé, le cas échéant, des secrets permettant de sécuriser les transmissions de données avec les serveurs centraux.
Et les risques de fraudes ?
Interrogé sur le nombre de QR codes qui ont pu être falsifiés à ce jour, Cédric O n'avance pas de chiffre, mais affirme que « les équipes d'Air France sont confrontées à plusieurs tentatives de fraude par semaine ». Alors que l'Europe avance sur son projet de "green pass" à l'échelle du continent, Cédric O observe que « tout le monde en Europe fait état de détection de fausses preuves de tests, voire de vaccins ».
« C'est important pour nous de sécuriser cet élément-là », souligne-t-il, notant que l'un des avantages du pass sanitaire est de « faire en sorte que les preuves présentées soient infalsifiables ».
Des faux sont d'ores et déjà en circulation. D'ailleurs, une infirmière a été soupçonnée d'avoir délivré des certificats de vaccination contre rémunération. Elle travaillait, depuis le mois de janvier, au centre de vaccination anti-covid de l’hôpital Saint-Anne à Paris. Prise en flagrant délit, elle vient d’être suspendue par la direction de l’établissement hospitalier.
« Moi, je l'ai observée pendant deux ou trois semaines », raconte un membre du personnel, qui a souhaité rester anonyme. « Elle disait aux autres infirmières : 'C'est pour moi... il y a des gens qui vont arriver, c'est pour moi!'. Elle les faisait venir dans son box. Normalement il y a deux infirmières par box avec un paravent de séparation pour l'intimité des personnes. Mais là, elle demandait à sa collègue de sortir. Elle faisait ça avec au moins une dizaine de personnes par journée travaillée. En fait, elle ne vaccinait pas les gens, mais elle se faisait payer pour qu'ils repartent avec un QR Code frauduleux, à priori pour pouvoir partir à l'étranger ».
Nadine Phan, directrice des soins à l’hôpital Saint-Anne, n'a cependant pas confirmé que cette personne recevait de l'argent et n'a pas pu se prononcer quant aux motifs de la fraude.
Certains membres de l'équipe ont pris contact avec leur hiérarchie. Les deux chefs de service sont informés et mercredi dernier, quand l'infirmière demande à se charger personnellement d'un couple en faisant sortir, une nouvelle fois, sa collègue, un médecin est alerté et intervient. « Normalement, on désinfecte la peau des personnes à vacciner avec un produit orange. Le médecin a voulu vérifier si les personnes avaient bien été vaccinées et il n'y avait aucune trace de désinfectant : ni colorant ni pansement. Elle a été prise en flagrant délit. Ça a été un choc.... Et ça pose un problème de santé publique parce que les personnes qui ont obtenu un faux certificat de vaccination courent un risque... et elles font courir un risque aux autres ».
Cependant, les personnes qui en ont bénéficié devraient rapidement être identifiées, car ces fameux QR Codes sont nominatifs. En effet, selon les concepteurs de l’application de contrôle, la falsification est impossible. « Si vous prenez le QR Code d’un membre de votre famille, au moment du contrôle, par comparaison avec le titre d’identité, on verra l’écart », assure Agnès Diallo, directrice activité services numériques à l’Imprimerie nationale (In groupe).
Pour rappel, les fraudes aux certificats de vaccination sont passibles de 45 000 euros d’amende.
Source : avis de la CNIL
Voir aussi :
:fleche: L'UE s'apprête à dévoiler un portefeuille numérique adapté à la vie post-Covid pour permettre aux citoyens d'accéder aux services publics et privés en ligne
:fleche: Covid-19 : accord trouvé sur le pass sanitaire européen, il sera disponible sur smartphone, mais aussi en version papier
:fleche: L'adoption de l'IA par les entreprises en Europe accélérée par la COVID, mais seules 27 % l'ont effectivement déployé dans le cadre de leurs activités, selon IBM