Le dispositif d'attestation de déplacement numérique pour sortir de chez soi en pleine pandémie de coronavirus fonctionne en duo, du côté des forces de l'ordre, avec une application capable de lire les QR Code nommée CovidReader. Comment se passe un contrôle ? Le policier garde-t-il des informations sur sa tablette ou son smartphone ? Envoie-t-il les données sur un serveur ? Explications.

Numerama produit en libre accès une information fiable et d’intérêt général sur la pandémie de coronavirus et son impact sur la société : retrouvez tous nos articles ici.

Le 6 avril 2020, le gouvernement a mis en ligne un site web permettant de générer une attestation de déplacement dérogatoire numérique. Elle ressemble en tous points à l’attestation papier, à une exception près : un QR Code que les forces de l’ordre peuvent scanner afin de ne pas avoir à toucher votre smartphone.

Comment fonctionne le processus du côté des forces de l’ordre ? Est-ce que la promesse du gouvernement de ne pas centraliser les informations a été tenue ? C’est ce que nous allons voir.

Rendu d’un QR code sur l’attestation

Comment fonctionne CovidReader, l’application des forces de l’ordre ?

Le premier point à souligner concerne la transparence du QR Code généré sur l’attestation est lisible en clair. Cela signifie qu’avec une application de lecture de code QR (souvent, l’application native de votre appareil photo le fait), vous pouvez voir ce que le gendarme ou le policier va voir sur son terminal. Faites le test : seules les informations transmises sur l’écran qui s’affichent sont envoyées. Même l’horodatage, qui empêche de falsifier une attestation à la va-vite en repérant un contrôle, est visible.

De leur côté, les forces de l’ordre ont accès à une application nommée CovidReader, comme nous l’a confirmé le ministère de l’Intérieur par mail. Elle est installée sur des appareils dits « Néo », smartphones et tablettes construits par Sony et tournant sur une version modifiée d’Android, nommée Secdroid. Tout a été développé, côté mobile, par le STSI2, pour service des technologies et des systèmes d’information de la sécurité intérieure.

« Aucune trace n’est conservée en local sur les tablette / smartphone Néo dont sont équipés les policiers et gendarmes »

La question qui revient le plus souvent est naturellement la suivante : si le gouvernement a tenu parole du côté du générateur d’attestation, est-ce que le traçage des utilisatrices et des utilisateurs ne se fait pas du côté de l’application ? Contacté par Numerama, le ministère de l’Intérieur garantit que ce n’est pas le cas : « Aucune donnée n’est conservée ou enregistrée sur un quelconque serveur. Aucune trace non plus en local sur les tablettes / smartphone Néo dont sont équipés les policiers et gendarmes  », nous confirme-t-on par mail.

Cette absence d’intégration et de stockage et partage des informations lors d’un scan est même tournée en reproche dans une tribune de l’Association Professionnelle Nationale Militaire Gendarmes et Citoyens.  « Dans la version mise en production le 04/04/2020, l’application CovidReader permet seulement de contrôler la validité des attestations. Aucun lien n’est établi entre les éléments d’identité et l’application messagerie tactique pour le contrôle au FPR. Aucun lien ne permet de passer la personne sur ADOC en cas d’infraction », peut-on lire.

Visiblement, le ministère a choisi de ne pas faire reposer la traçage éventuel d’un Français ou d’une Française sur l’outil numérique. Bien entendu, si vous n’êtes pas en règle, comme pour toute autre infraction, vous serez verbalisés et l’amende arrivera par courrier chez vous. Cela signifie, comme c’est prévu par la loi, qu’au moment où vous faites la faute, les agents auront une trace de votre verbalisation. Mais cette étape ne fait pas partie du contrôle en lui-même.

Que voient les policiers ?

Nos confrères du média iGen ont obtenu des captures d’écran de l’application. Comme on peut le constater, son fonctionnement est sommaire et s’approche des applications grand public : elle lit le QR Code, affiche les informations ou renvoie une erreur si une information est manquante, ce qui permet très simplement à un policier de connaître le statut de l’attestation.

Les deux interactions possibles // Source : Capture d’écran fournie à iGen

Partager sur les réseaux sociaux