BFM Business

TousAntiCovid: comment sont sécurisées les données personnelles du pass sanitaire

L'application française de traçage des malades du Covid-19 TousAntiCovid va intégrer un carnet permettant de prouver le résultat positif ou négatif d'un test de détection du virus, puis certifier l'état vaccinal

L'application française de traçage des malades du Covid-19 TousAntiCovid va intégrer un carnet permettant de prouver le résultat positif ou négatif d'un test de détection du virus, puis certifier l'état vaccinal - LIONEL BONAVENTURE © 2019 AFP

Mis en place à partir de ce 9 juin, le pass sanitaire mobilise des données de santé sensibles, notamment liées à la vaccination. Des interrogations émergent au sujet de TousAntiCovid Verif, l'application de vérification des QR Codes.

C’est un simple QR Code, qui suscite de l’espoir pour certains et des craintes pour d’autres. Ce mercredi 9 juin, le pass sanitaire, prouvant une vaccination, un test négatif ou une immunité naturelle contre le Covid-19, fait ses débuts dans certains grands événements comme les stades, les salons ou les foires.

Deux applications sont mobilisées: TousAntiCovid et TousAntiCovid Verif. Voici comment ils sont sécurisés, et ce qu’en pense la Cnil, la commission indépendante chargée de veiller sur les données personnelles des Français.

• TousAntiCovid: stockage en local

Il s’agit du seul outil facultatif parmi les quatre évoqués, le pass sanitaire pouvant être utilisé au format papier. En plus des fonctions liées au traçage Bluetooth, aux cahiers de rappel dans les restaurants ou aux attestations, l’application TousAntiCovid intègre désormais une fonction baptisée “Carnet”.

Elle permet tout simplement de scanner le QR Code présent sur son attestation vaccinale ou un résultat de test afin de le garder en mémoire sur son smartphone.

Le fonctionnement de TousAntiCovid Carnet a été évalué par la Cnil, qui a validé son principe, notamment en raison de deux principaux garde-fous.

En premier lieu, le stockage du pass sanitaire localement, sur le smartphone, sans être transmis à un quelconque serveur. Pour intégrer le pass sanitaire, TousAntiCovid n’a donc besoin d’aucune connexion internet.

Ensuite, l’application TousAntiCovid permet de masquer l’ensemble des informations liées au statut vaccinal lors d’un contrôle du pass. Il suffit d’appuyer sur le QR Code affiché à l’écran pour le voir apparaître sur fond blanc, sans les données liées à une éventuelle vaccination.

• TousAntiCovid Verif: des améliorations à prévoir

Pour scanner les QR Code à l’entrée d’un événement concerné par le pass sanitaire, des opérateurs utilisent une application baptisée TousAntiCovid Verif, librement accessible sur les magasins d’application.

Cette dernière a été imaginée pour protéger au maximum les données personnelles, notamment en empêchant à la personne effectuant le contrôle d’accéder au statut vaccinal de la personne contrôlée. A l’écran, seule une mention verte ou rouge apparaît, pour signifier la validité du pass, ainsi que les nom, prénom et date de naissance.

Capture d'écran de l'application TousAntiCovid Verif
Capture d'écran de l'application TousAntiCovid Verif © BFMTV

Plusieurs éléments sont toutefois évoqués par des spécialistes en cybersécurité, qui dénoncent un système mettant en risque le statut vaccinal des Français.

Sur Twitter, plusieurs développeurs ont analysé l’application TousAntiCovid Verif, avec trois observations à la clef:

  • La vérification du statut vaccinal se fait sur un serveur à distance, ce qui implique l’envoi des données des personnes contrôlées.
  • Au moins deux entreprises peuvent accéder à ces données, en clair (sans chiffrement): l’Imprimerie nationale, qui a mis au point TousAntiCovid Verif, détenue à 100% par l’Etat français et l’entreprise américaine Akamai, spécialisée dans l’hébergement.
  • Si les informations vaccinales n’apparaissent pas à l’écran avec TousAntiCovid Verif, des applications tierces peuvent permettent d’y accéder en scannant le QR Code.

Trois points sur lesquels BFMTV a interrogé le gouvernement.

“Afin de proposer un système opérationnel en un temps réduit, nous nous sommes basés sur des briques logicielles qui existaient déjà chez IN Groupe, en les faisant évoluer pour protéger au mieux la vie privée des utilisateurs. Nous avons toujours agi pour minimiser la remontée d’informations” précise le cabinet de Cédric O, ministre chargé du numérique, à BFMTV.

Dans les prochains jours, le gouvernement promet de faire évoluer le système dans le cadre du pass sanitaire utilisé pour les grands événements. Une vérification locale, sur le smartphone, sans aucun échange à distance, permettra de corriger ce défaut (également souligné par la Cnil).

“D’ici la fin de semaine ou le début de semaine prochaine, nous allons mettre à jour l’application TousAntiCovid Verif afin que la vérification des règles sanitaires et de la signature se fassent en local sans aucun transfert de données” promet le cabinet de Cédric O.

Pour des raisons techniques, le pass sanitaire utilisé aux frontières, lors d’un voyage, ne pourra pas être modifié de la même façon.

“Aujourd’hui, une partie du trafic peut passer par l’entreprise Akamai, qui peut être en mesure d’accéder aux données en clair. Nous avons évidemment des contrats qui engagent l’entreprise afin qu’elle ne prenne pas connaissance de ces données, ni qu’elle ne les conserve ou qu’elle ne les utilise, conformément à la réglementation.
Pour la vérification du pass sanitaire qui ne pourrait pas se faire localement, dans le cadre des voyages à l’étranger, nous travaillons sur d’autres pistes pour limiter encore le partage de données. Nous réfléchissons notamment à passer par un prestataire européen” assure l'exécutif à BFMTV.

L’accès à une autre application que TousAntiCovid Verif pour scanner les QR Code risque quant à lui d’être plus difficile à appréhender. Mais les sanctions sont lourdes: selon la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, un opérateur utilisant une autre application risque jusqu’à un an d’emprisonnement et 45.000 euros d’amende.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech