L'arrivée des QR Codes à l'entrée des établissements pose la question de l'anonymat du public : sait-on quel lieu j'ai fréquenté ? À quelle heure ? Quid de mon identité ? Voilà comment le fonctionnement du dispositif est présenté.

C’est ce mercredi 9 juin que s’ouvre une nouvelle phase du déconfinement, avec la réouverture de nombreux établissements, comme les restaurants et les salles de sport. Cette reprise s’accompagne du retour des cahiers de rappel, dans lesquels le public doit renseigner ses coordonnées pour être alerté si un malade est repéré, et de l’entrée en scène — c’est une nouveauté en France — des codes QR à scanner à l’entrée.

Comme du temps de StopCovid, devenu par la suite TousAntiCovid, ce dispositif soulève des questions légitimes sur la captation et l’utilisation de données nominatives. Quelles informations sont en jeu ? Sait-on quel lieu j’ai fréquenté ? À quelle heure et sur quelle durée ? Quid de mon identité ? Et, le cas échéant, toutes ces informations sont-elles protégées ? Et si oui, comment ?

La première chose à rappeler est que ni TousAntiCovid ni l’usage des codes QR ne sont obligatoires. Par contre, si vous voulez accéder à l’intérieur d’un bar, d’un café, d’un restaurant ou d’une salle de sport, et plus généralement dans certains lieux, vous devez utiliser soit le code QR via TousAntiCovid soit le carnet de rappel, qui consiste à inscrire ses coordonnées sur une feuille fournie par l’établissement.

En résumé :

  • Vous avez le choix entre le carnet de rappel ou le code QR en intérieur. Le choix d’un mode de traçage des contacts est obligatoire ;
  • Vous pouvez ignorer le carnet de rappel et le code QR à l’extérieur, par exemple si vous êtes à une terrasse.
Il est obligatoire de passer par TousAntiCovid pour scanner les QR Codes. Mais il est possible de passer par les cahiers de rappel à la place si l’on préfère. // Source : Gouvernement/tousanticovid

Comment marche le code QR ?

Il faut comprendre de quelle façon marche ce code QR. Au moment de le générer, le ou la propriétaire de l’établissement n’a qu’à renseigner le type de lieu dont il s’agit (par exemple un restaurant, une salle de sport, etc.) et sa capacité d’accueil (ou, le cas échéant, sa superficie). Il n’est demandé à aucun moment le nom du lieu, son adresse, l’identité du gérant ou quoi que ce soit d’autre.

Un journal du cahier de rappel est disponible dans l’application, pour supprimer si besoin des lieux.

Le visuel qui stocke ces informations ne contient donc pas de données nominatives. Il ne produit qu’une longue suite de caractères pour pouvoir être suffisamment spécifique à l’établissement (et éviter que deux endroits utilisent le même code. Dans l’application, cela peut être un code comme : 71b6e0f5-d2dd-6274-4ab6-f99a4c7bafeb. En cas d’alerte, seules les personnes qui ont enregistré ce code sont prévenues.

Par commodité, le code QR va se retrouver la plupart du temps surtout imprimé sur des feuilles de papier. Comme il ne s’agit, au final, que d’encre noire projetée sur des fibres cellulosiques végétales, le code QR n’est pas en mesure, de lui-même, d’enregistrer quoi que ce soit. C’est juste un carré en noir et blanc, dont le sens ne se révèle qu’à travers l’application TousAntiCovid-Signal.

Dès lors, le ou la propriétaire du lieu ne peut rien obtenir par ce canal-là. Il peut juste vous voir scanner le QR Code avec votre smartphone, et encore : si le code est à l’entrée, vous serez peut-être hors de son champ de vision. Et s’il y a de l’affluence, il n’aura peut-être pas non plus le temps de regarder les actions de chaque ndividu. En clair, votre identité n’est pas exposée ni captée par le code QR.

Pour TousAntiCovid-Signal, il n’y a pas de données nominatives en jeu : ce que l’application enregistre en scannant le QR Code, c’est l’identifiant que l’établissement a généré (comme 71b6e0f5-d2dd-6274-4ab6-f99a4c7bafeb). L’information est enregistrée localement dans le smartphone, avec un horodatage (date et heure de visite) et une durée, qui sont aussi indiqués dans le code QR.

Dans la documentation accompagnant le dispositif, il est spécifié que l’application n’utilise à aucun moment la localisation ni des personnes ni des lieux, que ce soit au moyen des données GPS des téléphones portables ou autres. Il est vrai que la demande d’accès à la géolocalisation sur Android au moment de l’inscription peut déstabiliser, mais c’est en raison de contraintes techniques sur l’OS mobile de Google.

Si une personne est déclarée malade, et si elle rentre l’information dans l’appli, alors le logiciel transmet à un serveur central contrôlé par l’État à la fois l’identifiant du mobile sur lequel TousAntiCovid est installé (dans le cadre du traçage des contacts électronique) mais aussi les informations relatives au QR code, c’est-à-dire l’identifiant associé au lieu ainsi que l’horodatage.

L’horodatage se fait sur une plage horaire variée, en fonction du lieu : une demi-heure pour la restauration rapide, une heure pour un bar ou un café, une heure et demie pour une salle de sport et deux heures pour un restaurant. Cette plage horaire correspond à la durée de validité du scan. Si vous scannez par exemple un lieu à 15 heures, la plage horaire ira de 15 heures à 17 heures. Si vous restez plus longtemps, il faudrait faire un nouveau scan du lieu afin de rouvrir une nouvelle plage horaire de deux heures. Il n’est toutefois pas certain que cela soit respecté.

À ce moment-là, le serveur se charge de transmettre aux applications TousAntiCovid une liste des lieux à risque (c’est-à-dire qui lui ont été remontés, en tenant compte du fait que des identifiants individuels pseudonymisés lui ont été remontés avec l’indication qu’ils sont positifs) et c’est au niveau local, c’est-à-dire dans les smartphones des particuliers, qu’une correspondance est effectuée : l’application vérifie si le code QR et l’horodatage reçus du serveur concernant un lieu à risque correspondent à un code QR et à un horodatage similaires déjà présents dans le smartphone, lors d’une visite précédente.

Le carnet de rappel est bien plus exposé

Voilà, grossièrement, comment marche le dispositif par code QR tel qu’il a été présenté par le gouvernement, avec des échanges entre les smartphones et le serveur qui sont de toute évidence limités au strict nécessaire — tant qu’ils ne se déclarent pas eux-mêmes malades, les autres individus n’envoient rien au serveur sur les lieux qu’ils ont visités — qui sont de toute façon anonymes, vu la façon dont les codes QR sont produits.

Le journal du cahier de rappel est situé un peu plus bas (voir encadré orange).

D’autres dispositions sont prises pour limiter encore un peu plus les risques. L’application efface automatiquement les lieux qui ont été scannés et mémorisés après deux semaines, au moment de son ouverture — ces 15 jours équivalent à la durée moyenne d’incubation du virus. Par ailleurs, elle regroupe tous les lieux enregistrés dans un journal dédié. Il est possible d’effacer les entrées que l’on souhaite.

Il n’y a évidemment pas de risque zéro en matière de sécurité informatique et on peut se prêter à un exercice de pensée mettant en scène une attaque complexe qui permettrait de retrouver l’identité derrière chaque identifiant individuel TousAntiCovid et de savoir quel lieu vous avez fréquenté et à quelle heure. Cependant, un tel scénario, s’il reste plausible, parait très difficile à exécuter.

Il faudrait vous cibler ou mener une opération sur les mobiles qui ont TousAntiCovid, en parvenant à surclasser les protections figurant dans Android, iOS, et dans l’application elle-même. Si une opération est conduite au niveau du serveur, il faut réussir à le pénétrer, alors qu’il répond à des critères très élevés en matière cyber. Et le jeu n’en vaut peut-être pas la chandelle (savoir où vous étiez et quand).

« La liste des QR codes […] sont stockées sur un serveur central dédié, hautement sécurisé », indique une FAQ, qui mentionne SecNumCloud — il s’agit d’un label décerné par l’Agence nationale de la sécurité des systèmes d’information pour les prestataires répondant à un cahier des charges exigeant. « Pour plus de sécurité, ce serveur est distinct de celui utilisé pour la gestion des contacts identifiés […] via le suivi des contacts par Bluetooth. »

Il peut aussi exister des scénarios de malveillance plus simples à envisager : des personnes malades pourraient scanner des QR Codes de lieux publics avec l’intention de semer une certaine zizanie. Cependant, ce risque est modéré : cela n’entraînerait pas la fermeture du lieu et avec la progression de la campagne vaccinale, la crainte d’une infection va aller en diminuant.

Toutes ces limites ont de fait une autre conséquence : il n’est pas possible de savoir où on a été potentiellement exposé à une personne malade ni quand et encore moins son identité. On peut juste savoir qu’une situation à risque a été observée et qu’il faut alors prendre des mesures spécifiques, en fonction de ce que recommande l’application : se faire tester et, éventuellement, s’isoler.

De fait, cette approche est plus protectrice en matière de données personnelles qu’un cahier de rappel dans lequel les personnes sont invitées à laisser leurs cordonnées (nom, prénom, numéro de téléphone). En octobre, il avait été constaté que des carnets étaient laissés sans surveillance, exposant de fait les données inscrites à des regards indiscrets. D’autres ont servi à des fins commerciales.

(mise à jour le 9 juin avec la mise en place du dispositif des QR Codes)

Partager sur les réseaux sociaux

La suite en vidéo