Données médicales, anonymat, surveillance : un pass sanitaire passoire

collander by catherine (creative commons) (CC BY-NC 2.0)

Selon plusieurs experts, le pass sanitaire serait une véritable passoire en matière de protection des données. C’est un véritable danger pour les libertés individuelles.

Par Frédéric Mas.

Alors que le pass sanitaire est mis en place en France ce mercredi 9 juin, des voix s’élèvent parmi les experts pour mettre en garde contre un outil jugé à la fois incapable de protéger la vie privée des citoyens et posant les jalons de l’État de surveillance.

Les pouvoirs publics se veulent rassurants, et à quelques exceptions notables, la presse a relayé la bonne parole gouvernementale sans inquiétude. Même la CNIL a donné son feu vert à l’architecture du précieux document. Sur le site du gouvernement, il est précisé noir sur blanc que les données sanitaires seront sécurisées :

« Lors d’un contrôle du pass sanitaire par une autorité ou une personne habilitée, l’opération de vérification/lecture se fait en local (grâce à l’application TousAntiCovid-Verif), sans conservation de données. Seule la signature de votre preuve sanitaire est vérifiée sur un serveur central avec l’application TousAntiCovid Verif pour s’assurer de son authenticité. »

Plus loin, le texte énonce que les documents de preuve composant le pass sanitaire seront munis d’un QR code qui pourra être flashé à l’aide de l’application TousAntiCovid Verif : « Cette application aura le niveau de lecture « minimum » avec juste les informations « pass valide/invalide » et « nom, prénom », « date de naissance », sans divulguer davantage d’information sanitaire. »

Le pass sanitaire est une passoire

Pourtant, pour Florian Maury et Piotr Chmielnicki, respectivement spécialiste en sécurité des réseaux et des protocoles et consultant en cybersécurité, le pass sanitaire est une véritable passoire en matière de protection des données :

« N’importe qui équipé d’un lecteur de code-barres grand public peut lire les informations contenues dans le pass […]Les protections techniques se limitent à prévenir la modification d’un pass existant ou la fabrication d’un faux pass. Il n’existe aucune protection contre la lecture du pass par quelqu’un d’indiscret. »

Les données médicales sont donc en clair pour tout le monde, et il suffirait d’un smartphone pour que n’importe qui puisse les lire. Selon Florian Maury et Piotr Chmielnicki :

« La protection de la confidentialité des informations contenues dans le pass (chiffrement des données) est difficile à mettre en œuvre, car elle implique de diffuser une clé cryptographique permettant le déchiffrement, par exemple au sein d’une application dédiée. Si cette clé fuitait, nous serions à nouveau avec la problématique de la confidentialité des informations du pass, puisque tout le monde pourrait procéder au déchiffrement des données »

Mais ce n’est pas tout : les informations contenues dans le 2D-DOC des certifications de vaccination, lisibles par n’importe qui, permettent de déduire des informations supplémentaires sur l’état de santé de ses porteurs, contrairement à ce qu’affirme le site du gouvernement.

À partir du type de vaccin et de molécule, du nombre de doses reçues, de la date de la dernière injection, et de l’état du cycle de vaccination, il est possible de savoir si le porteur du pass a déjà été infecté par le Covid, s’il est immunodéprimé ou encore s’il est prioritaire dans le cadre de la campagne vaccinale. On est loin du quasi-anonymat, et cette défaillance en matière de cybersécurité pourrait coûter très cher, alors que le chef de l’État a assuré en faire une priorité.

En effet, le 18 février dernier, Emmanuel Macron a alloué près de 350 millions d’euros au Ségur de la Santé pour répondre aux cyberattaques quotidiennes contre les établissements de santé français. Aujourd’hui, le pass vaccinal crée une brèche de sécurité qui pourrait réduire ces efforts à néant : sur le dark web, le marché des données de santé est florissant.

Le pass sanitaire vous surveille-t-il ?

L’analyse critique de Florian Maury et Piotr Chmielnicki ne s’arrête pas là. Ils pointent du doigt l’opacité de Tousanticovidverif en matière de récolte de données. L’application disponible n’est pas en open source, elle demande une connexion internet pour être installée et renvoie vers un serveur (IN Groupe). La simple transmission d’informations au serveur d’IN Group ajoute une métadonnée : l’adresse IP du smartphone qui se connecte au serveur.

À partir de là, les déplacements du porteur du pass peuvent être géolocalisés et s’installe le risque de la surveillance de masse. Pour les deux experts, « plusieurs chercheurs s’accordent à dire que le contenu du Pass sanitaire, données personnelles et données médicales, sont transmis, in extenso, aux serveurs d’IN Groupe. Comme la politique de vie privée de l’application TousAntiCovid Verif affirme qu’aucune communication n’est effectuée avec les serveurs d’IN Groupe, il est impossible de déterminer ce qui est fait avec ces dernières, ni pour combien de temps elles sont conservées. »

Antoine Darodes, directeur de cabinet de Cédric O, reconnaît le risque mais assure que le gouvernement travaille à le neutraliser : « Aujourd’hui il y a bien un envoi de données vers un serveur central, nécessitant une connexion internet. Dans les prochains jours, une mise à jour permettra de tout avoir en local sans nécessiter une connexion internet pour vérifier si la certification est en rouge ou en vert » a-t-il déclaré au Monde Informatique mardi 8 juin.

La surveillance de masse n’est peut-être pas le but recherché, et le gouvernement s’est engagé, au moins verbalement, à limiter les risques sur la vie privée sur ce point précis. Mais la pression politique pourrait changer la donne.

Collecter les données personnelles au nom de la crise sanitaire n’est plus un tabou pour l’État, comme en témoigne la publication le 3 juin dernier d’un rapport sénatorial portant sur le recours aux outils numériques dans la prévention et la gestion des pandémies. Celui-ci préconise de mutualiser les fichiers de données par souci d’efficacité de l’action publique. Mais qu’est-ce qui garantit, encore une fois, que ces fichiers à usage sanitaire ne seront pas réaffectés à d’autres usages sécuritaires ?

Florian Maury et Piotr Chmielnicki ont lancé l’alerte et déposé une plainte auprès de la CNIL, tout en prévenant le Défenseur des droits. À l’heure actuelle, ils sont toujours en attente d’une réponse face à ces dérives inquiétantes.

 

Vous souhaitez nous signaler une erreur ? Contactez la rédaction.