L'application TousAntiCovid-Verif, qui s'adresse aux professionnels pour vérifier les informations du public dans le cadre du passe sanitaire, fait l'objet depuis plusieurs jours de vives critiques. Certains choix techniques sont controversés et le fonctionnement annoncé de l'application ne serait pas tout à fait raccord avec son fonctionnement réel.

Le 9 juin une nouvelle phase du déconfinement s’ouvre en France, avec la réouverture  totale des bars, cafés et des restaurants, mais aussi des salles de sport et des stades. Les jauges d’accueil du public seront également assouplies et l’horaire du couvre-feu sera repoussé à 23 heures, au lieu de 21 heures. Enfin, la circulation entre pays européens sera également facilitée.

C’est aussi à cette date qu’entre en jeu le système des codes QR à scanner à l’entrée des lieux publics, pour permettre au public d’être prévenu si une personne malade se trouvait aussi dans les parages le même jour au même créneau horaire. Ces codes peuvent déjà être générés et, dans certains cas, ce dispositif sera obligatoire. Pour le dire vite, c’est l’équivalent numérique du cahier de rappel.

TousAntiCovid-Carnet, pour mettre ses certificats

Dans ce contexte, l’application TousAntiCovid évolue. Elle intègre bien sûr une rubrique pour stocker, pour une période de deux semaines, les informations des codes QR des lieux qui ont été visités, afin d’alerter les individus en cas d’exposition possible au coronavirus. Par ailleurs, elle inclut aussi une section « TousAntiCovid-Carnet », qui permet de conserver des documents liés à son état de santé.

Voici à quoi ressemble l’option TousAntiCovid-Carnet // Source : Gouvernement

Dans ce carnet, le public peut placer une attestation de vaccination (ce document est remis à chaque injection d’un vaccin et, pour les personnes qui ont été vaccinées très en amont, avant la mise en place de ce document, il peut être récupéré a posteriori sur Ameli), mais aussi une preuve de test négatif ou positif, pour les personnes qui ne sont pas encore vaccinées ou qui ne tiennent pas à être.

Cette section TousAntiCovid-Carnet s’inscrit dans la stratégie du passe sanitaire, qui sera obligatoire dans certaines situations, à commencer par les événements qui rassemblent plus de 1 000 personnes. Or, pour éviter d’éventuelles tentatives de gruge, il est prévu un système permettant de vérifier l’authenticité des justificatifs qui sont contenus dans cette rubrique, ou qui sont présentés sur une feuille de papier.

TousAntiCovid-Verif, pour scanner les certificats

Ce système consiste en une autre application, appelée TousAntiCovid-Verif, qui n’est pas à destination du public, mais de certains professionnels (comme les compagnies aériennes, pour vérifier la validité des documents sanitaires avant l’embarquement et déterminer si vous pouvez effectivement voyager). Cette application existe déjà et se trouve sur Google Play (pour Android) et l’App Store (pour iOS).

Dans les faits, il n’est pas dit que des usages inappropriés surviennent. En théorie, l’usage de cette application est réservé aux personnes habilitées et services autorisés. Un usager lambda n’a pas le droit de s’en servir. En pratique toutefois, il est impossible de s’assurer que seules les bonnes personnes s’en servent, malgré un rappel des sanctions possibles. Ce ce n’est pas une déclaration sur l’honneur qui sera un filtre suffisant.

Capture de TousAntiCovid Vérif dans le Google Play Store

Des transferts de données pointés du doigt

Il s’avère que cette nouvelle application, TousAntiCovid-Verif, fait l’objet de critiques depuis quelques jours dans son mode de fonctionnement et pour ses choix techniques qui sont susceptibles d’exposer des données personnelles et médicales. C’est ce que montrent ce fil sur Twitter de Mathis Hammel, expert informatique, et ces publications sur Medium et Broken by Design.

Dans ces différentes expérimentations, l’extraction de l’identité de l’individu est possible, mais aussi le type de vaccin qui a été injecté, la date de naissance et d’autres indications (nombre de doses reçues, date de l’injection, etc.). Il s’avère que c’est en partie à cause du standard 2D-DOC sur lequel le dispositif s’appuie. De fait, une simple application mobile tenant compte du standard 2D-DOC peut voir ces informations.

C’est ce qui fait dire à Mathis Hammel que si l’application TousAntiCovid-Verif est sans doute bridée afin de n’afficher que l’essentiel (c’était ce qui était suggéré en avril, quand ce dispositif a été évoqué), et éviter de trop en dire sur les personnes, d’autres applications pourraient émerger, et être utilisées à tort au lieu de la bonne ou volontairement à des fins malveillantes.

D’ailleurs, une foire aux questions du gouvernement va dans ce sens : «  l’application aura le niveau de lecture « minimum » avec juste les informations pass valide/invalide et nom, prénom, sans divulguer davantage d’information sanitaire ». Cédric O, interrogé sur FranceInfo le 7 juin, a également réaffirmé qu’il n’avait «  pas d’inquiétude sur la protection de la vie privée des Français ».

Dans les captures publiées sur le Google Play Store, on peut d’ailleurs voir ce que sont censés voir celles et ceux qui scanneront les codes avec TousAntiCovid-Vérif :

Capture de TousAntiCovid Vérif dans le Google Play Store, où l’on voit ce que sont censés voir ceux qui scannent le code

Les données personnelles de santé sont transférées sur un serveur d’une entreprise qui appartient à l’État

Aux problématiques de pseudonymisation imparfaite des informations s’ajoutent les conditions dans lesquelles ces informations sont manipulées par TousAntiCovid-Verif. Or ici aussi, il a été relevé des particularités dans le fonctionnement de l’application. Dans cet autre fil sur Twitter, il est observé que des données sont transférées sur un serveur de l’entreprise qui a développé TousAntiCovid-Verif, IN Groupe.

IN Groupe se trouve être une société à part : il s’agit de l’Imprimerie nationale, détenue à 100 % par l’État français — c’est cette structure qui s’occupe de produire les nouvelles cartes d’identité nationale électroniques, par exemple. Il n’en demeure pas moins que des informations sensibles circuleraient entre TousAntiCovid-Verif et le serveur d’IN Groupe, alors que cela ne semble ni nécessaire ni indiqué.

Toujours sur Twitter, il est annoncé que « la totalité du contenu du 2D-DOC (à savoir le nom, prénom, date de naissance, numéro et marque de vaccin, date d’injection, signature, etc…) est envoyée sur un serveur d’IN Groupe  ». Le code 2D-DOC est une sorte de code QR qui s’appuie sur le code Datamatrix. Dans l’attestation de vaccination, il est présenté à côté du code QR à flasher dans TousAntiCovid.

Sur l’attestation, deux codes QR sont présentés (ici masqués pour des raisons de confidentialité).

Il poursuit en faisant remarquer que ce code 2D-DOC « est signé numériquement à l’aide d’une clé asymétrique ECSDA », qui d’une part « rend théoriquement impossible la falsification », mais surtout « permet à tout le monde […] de vérifier son authenticité de façon entièrement hors ligne et décentralisée ». En clair, sans avoir besoin de passer par un serveur d’IN Groupe, ni par Internet tout court.

Pourtant, la politique de protection des données personnelles d’IN Groupe au sujet de TousAntiCovid-Verif assure du contraire (aucune donnée partagée, aucune donnée stockée). Un même engagement est lisible dans la description de l’application sur Google Play : « l’application n’utilise à aucun moment la localisation des personnes, et il est impossible de connaître l’identité des utilisateurs. »

On peut aussi lire sur le document : « Lors de l’activation de l’application TousAntiCovid-Verif, un lecteur de 2D-DOC se déclenche et permet d’afficher en clair les données contenues dans une preuve de test Covid, une preuve de test de vaccination ou un certificat de rétablissement au format 2D-Doc. Les données sont uniquement affichées. Il n’y a aucun enregistrement des données. »

Celui-ci insiste sur l’absence de transfert, d’enregistrement, ou de partage — il n’y a qu’un affichage en local des informations du code 2D-DOC au moment du contrôle. « Une fois le contrôle réalisé, les informations affichées sur l’écran de l’utilisateur disparaissent », lit-on. Pourtant, sur les réseaux sociaux, les observations qui sont faites apparaissent visiblement en contradiction.

La politique de protection des données personnelles rappelle qu’il n’est pas obligatoire de présenter son code (sauf cas très particuliers, évoqués plus haut). Celles et ceux qui le montrent pourraient donc être considérés comme des individus acceptant de livrer les informations contenues dans le 2D-DOC volontairement — ce qui réglerait théoriquement l’enjeu de la compatibilité au RGPD.

IN Groupe déclare à toutes fins utiles que ce traitement « est fondé sur l’exécution d’une mission d’intérêt public », prévue par le RGPD et la loi Informatique et Libertés, dans le cadre du plan gouvernemental de lutte contre la pandémie. L’entreprise rappelle aussi qu’il est possible de contacter la CNIL si le traitement paraît ne pas être conforme aux règles de protection des données.

Dans les faits toutefois, il reste à vérifier si ce consentement respecte bien les formes prévues par la loi, à commencer par un consentement libre et éclairé. Dans les faits, qui saura vraiment les problématiques autour du 2D-DOC et de TousAntiCovid-Verif ? Et, par commodité, ce scan ne va-t-il pas s’imposer tout court et devenir dans les faits obligatoire, même s’il n’est pas censé l’être ?

Des composants Google, pas d’open source

Ce ne sont pas les seuls reproches adressés à TousAntiCovid-Verif : il est aussi souligné le fait que l’application n’est pas en code source ouvert, contrairement à TousAntiCovid, dont les sources sont accessibles publiquement afin que tout le monde puisse jeter un œil, à la mesure de ses compétences. À l’époque, la publication du code source de StopCovid (son ancien nom) avait été décidée pour rassurer.

Autre grief qui a été remonté ces derniers jours, l’emploi de composants logiciels fournis par une entreprise étrangère, à savoir Google (Firebase et certains services Google Play), ce qui tranche avec le discours politique qui a justifié le développement de TousAntiCovid au nom de la souveraineté numérique et sanitaire française. Dans ce cas, TousAntiCovid-Verif ne devrait pas embarquer de code propriétaire.

Cette dernière polémique en rappelle d’autres : à une époque, il avait été dénoncé l’emploi de la technologie ReCaptcha de Google, qui sert à tenir à l’écart les bots qui sont conçus pour s’inscrire automatiquement à des services en ligne. Ce service a fini par être écarté au profit d’une solution développée par Orange. Une controverse avait aussi éclaté quant à la collecte de certaines adresses IP, à des fins de sécurité.

ReCaptcha Google
Le ReCaptcha de Google

TousAntiCovid-Verif va-t-il évoluer au regard des critiques ?

Alors qu’une nouvelle phase de déconfinement s’ouvre, et que se met en place la stratégie du pass sanitaire, il reste à savoir si ces premières controverses auront pour effet de faire évoluer TousAntiCovid-Verif — exactement comme TousAntiCovid avait évolué à cause des polémiques sur le ReCaptcha, par exemple, en éjectant le composant fourni par Google pour une solution made in France.

Deux demandes pourraient être en principe adressées avec vite : la publication complète du code source et le retrait des composants propriétaires étrangers. Des transformations plus importantes pourraient être aussi envisagées, si des transferts de données ont bien lieu : IN Groupe affirme que non, mais une foire aux questions du gouvernement nuance le propos.

Certes, est-il expliqué, « lors d’un contrôle de votre pass sanitaire par une autorité ou une personne habilitée, l’opération de vérification/lecture se fait en local (grâce à l’application TAC-Verif), sans conservation de donnée, sans requête à un serveur central de données ». Mais, il y a quand même une communication à un serveur central, depuis TousAntiCovid-Verif.

« Seule la signature de votre preuve sanitaire est vérifiée sur un serveur […] pour s’assurer de son authenticité », est-il indiqué. « TousAntiCovid Verif disposant des règles de gestion en local, seule la signature du certificat sera vérifiée par un serveur dédié d’IN Groupe respectant toutes les règles de sécurité des systèmes d’information afin de garantir au lecteur l’authenticité du certificat. »

Ces problématiques ne sont pas forcément catastrophiques, mais témoignent à tout le moins de choix techniques discutables et d’une clarification insuffisante sur ce qui est vraiment transféré, ou pas. La bonne nouvelle, c’est qu’à l’image des corrections faites à TousAntiCovid, des ajustements dans la présentation et dans le fonctionnement de TousAntiCovid-Verif peuvent être effectués.

Ces adaptations paraissent indispensables, car la pandémie, même si elle est en recul, va rester encore un moment en France. Qui plus est, le rapport coût / bénéfice de ce pass sanitaire « dans le retour à la vie d’avant » paraît si favorable que s’en passer n’est pas une option manifestement sur la table. Au contraire, il pourrait devenir incontournable dans son usage, malgré son caractère facultatif, ce qui pose la question d’un risque de préjudice pour des personnes ne voulant pas s’en servir. Dès lors, TousAntiCovid-Verif se doit être irréprochable.

Partager sur les réseaux sociaux

La suite en vidéo