Données médicales, anonymat, surveillance : un pass sanitaire passoire

Selon plusieurs experts, le pass sanitaire serait une véritable passoire en matière de protection des données. C’est un véritable danger pour les libertés individuelles.

Partager sur:
Sauvegarder cet article
Aimer cet article 0
collander by catherine (creative commons) (CC BY-NC 2.0)

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Données médicales, anonymat, surveillance : un pass sanitaire passoire

Publié le 9 juin 2021
- A +

Par Frédéric Mas.

Alors que le pass sanitaire est mis en place en France ce mercredi 9 juin, des voix s’élèvent parmi les experts pour mettre en garde contre un outil jugé à la fois incapable de protéger la vie privée des citoyens et posant les jalons de l’État de surveillance.

Les pouvoirs publics se veulent rassurants, et à quelques exceptions notables, la presse a relayé la bonne parole gouvernementale sans inquiétude. Même la CNIL a donné son feu vert à l’architecture du précieux document. Sur le site du gouvernement, il est précisé noir sur blanc que les données sanitaires seront sécurisées :

« Lors d’un contrôle du pass sanitaire par une autorité ou une personne habilitée, l’opération de vérification/lecture se fait en local (grâce à l’application TousAntiCovid-Verif), sans conservation de données. Seule la signature de votre preuve sanitaire est vérifiée sur un serveur central avec l’application TousAntiCovid Verif pour s’assurer de son authenticité. »

Plus loin, le texte énonce que les documents de preuve composant le pass sanitaire seront munis d’un QR code qui pourra être flashé à l’aide de l’application TousAntiCovid Verif : « Cette application aura le niveau de lecture « minimum » avec juste les informations « pass valide/invalide » et « nom, prénom », « date de naissance », sans divulguer davantage d’information sanitaire. »

Le pass sanitaire est une passoire

Pourtant, pour Florian Maury et Piotr Chmielnicki, respectivement spécialiste en sécurité des réseaux et des protocoles et consultant en cybersécurité, le pass sanitaire est une véritable passoire en matière de protection des données :

« N’importe qui équipé d’un lecteur de code-barres grand public peut lire les informations contenues dans le pass […]Les protections techniques se limitent à prévenir la modification d’un pass existant ou la fabrication d’un faux pass. Il n’existe aucune protection contre la lecture du pass par quelqu’un d’indiscret. »

Les données médicales sont donc en clair pour tout le monde, et il suffirait d’un smartphone pour que n’importe qui puisse les lire. Selon Florian Maury et Piotr Chmielnicki :

« La protection de la confidentialité des informations contenues dans le pass (chiffrement des données) est difficile à mettre en œuvre, car elle implique de diffuser une clé cryptographique permettant le déchiffrement, par exemple au sein d’une application dédiée. Si cette clé fuitait, nous serions à nouveau avec la problématique de la confidentialité des informations du pass, puisque tout le monde pourrait procéder au déchiffrement des données »

Mais ce n’est pas tout : les informations contenues dans le 2D-DOC des certifications de vaccination, lisibles par n’importe qui, permettent de déduire des informations supplémentaires sur l’état de santé de ses porteurs, contrairement à ce qu’affirme le site du gouvernement.

À partir du type de vaccin et de molécule, du nombre de doses reçues, de la date de la dernière injection, et de l’état du cycle de vaccination, il est possible de savoir si le porteur du pass a déjà été infecté par le Covid, s’il est immunodéprimé ou encore s’il est prioritaire dans le cadre de la campagne vaccinale. On est loin du quasi-anonymat, et cette défaillance en matière de cybersécurité pourrait coûter très cher, alors que le chef de l’État a assuré en faire une priorité.

En effet, le 18 février dernier, Emmanuel Macron a alloué près de 350 millions d’euros au Ségur de la Santé pour répondre aux cyberattaques quotidiennes contre les établissements de santé français. Aujourd’hui, le pass vaccinal crée une brèche de sécurité qui pourrait réduire ces efforts à néant : sur le dark web, le marché des données de santé est florissant.

Le pass sanitaire vous surveille-t-il ?

L’analyse critique de Florian Maury et Piotr Chmielnicki ne s’arrête pas là. Ils pointent du doigt l’opacité de Tousanticovidverif en matière de récolte de données. L’application disponible n’est pas en open source, elle demande une connexion internet pour être installée et renvoie vers un serveur (IN Groupe). La simple transmission d’informations au serveur d’IN Group ajoute une métadonnée : l’adresse IP du smartphone qui se connecte au serveur.

À partir de là, les déplacements du porteur du pass peuvent être géolocalisés et s’installe le risque de la surveillance de masse. Pour les deux experts, « plusieurs chercheurs s’accordent à dire que le contenu du Pass sanitaire, données personnelles et données médicales, sont transmis, in extenso, aux serveurs d’IN Groupe. Comme la politique de vie privée de l’application TousAntiCovid Verif affirme qu’aucune communication n’est effectuée avec les serveurs d’IN Groupe, il est impossible de déterminer ce qui est fait avec ces dernières, ni pour combien de temps elles sont conservées. »

Antoine Darodes, directeur de cabinet de Cédric O, reconnaît le risque mais assure que le gouvernement travaille à le neutraliser : « Aujourd’hui il y a bien un envoi de données vers un serveur central, nécessitant une connexion internet. Dans les prochains jours, une mise à jour permettra de tout avoir en local sans nécessiter une connexion internet pour vérifier si la certification est en rouge ou en vert » a-t-il déclaré au Monde Informatique mardi 8 juin.

La surveillance de masse n’est peut-être pas le but recherché, et le gouvernement s’est engagé, au moins verbalement, à limiter les risques sur la vie privée sur ce point précis. Mais la pression politique pourrait changer la donne.

Collecter les données personnelles au nom de la crise sanitaire n’est plus un tabou pour l’État, comme en témoigne la publication le 3 juin dernier d’un rapport sénatorial portant sur le recours aux outils numériques dans la prévention et la gestion des pandémies. Celui-ci préconise de mutualiser les fichiers de données par souci d’efficacité de l’action publique. Mais qu’est-ce qui garantit, encore une fois, que ces fichiers à usage sanitaire ne seront pas réaffectés à d’autres usages sécuritaires ?

Florian Maury et Piotr Chmielnicki ont lancé l’alerte et déposé une plainte auprès de la CNIL, tout en prévenant le Défenseur des droits. À l’heure actuelle, ils sont toujours en attente d’une réponse face à ces dérives inquiétantes.

 

Voir les commentaires (13)

Laisser un commentaire

Créer un compte Tous les commentaires (13)
  • L’état s’occupe du problème… comme dirait H16, ça va forcément bien se passer.

  • Cela voudrait donc dire que le pays du minitel, d’Hadopi et de ParcoursSup n’est pas très doué pour faire des applications smartphone ?
    Alors là, ça m’en bouche un coin ! 😀
    Refus de transparence, non-respect du secret médical, absence de sécurisation, géolocalisation des utilisateurs, ce ne sont que des détails techniques hein. Au moins l’appli ne plante pas et ne rame pas trop, c’est déjà un bien bel exploit technologique pour notre pays.
    C’est sympa le monde d’après.
    Tu es libre de choisir : soit tu installes une appli foireuse qui divulge tes données et te piste partout où tu vas, soit tu fais une croix sur les vacances en Corse ou dans les DOM-TOM, et aussi sur tout événement public de 5000 personnes (ah non, entre-temps, c’est passé à 1000 sans que personne ne s’en offusque).
    Heureusement que notre cher président nous a assuré fin avril que le pass sanitaire ne servirait jamais à différencier les français, sinon j’aurais des doutes !
    Bref….
    Je sais pas où on va, mais on y va tout droit, en ligne droite et à toute vitesse, et j’ai le sentiment que la destination ne sera pas bien réjouissante.

      • ces élus ne sont que des traitres aux citoyens !!!

        • Vous noterez le raisonnement complètement hors-sol du sénateur:

          « Le sénateur René-Paul Savary s’étonne que les Français acceptent la récolte de données par les grands groupes comme Amazon, et refusent de confier leurs données à l’État pour protéger les autres »

          Entre accorder ma confiance aux GAFAM ou à l’état, il y a bien longtemps que mon choix est fait. Si les premiers ont véritablement changé et amélioré mon existence, le second n’a fait que me pourrir la vie, entraver mes libertés les plus élémentaires, sans oublier d’organiser un gigantesque pillage pour ce que je considère comme de simples cacahuètes !!

      • Tout ça commence à furieusement ressembler au crédit social chinois…

  • « un pass sanitaire passoire »

    Ben pour bien essorer l’administré, il faut laisser des petits trous dans le tambour de la machine …

  • Il suffit de constater l’efficacité de l’état en terme de numérique (Louvois, Chorus, etc car la liste est longue) pour n’éprouver que des craintes à l’idée que ce sont les mêmes qui prétendent garantir la sécurité de nos données.
    Les cyberattaques sur les hôpitaux ne sont d’ailleurs pas si nombreuses que cela au vu du très faible niveau de protection proposé (j’y travaille, je le vois tous les jours).

  • Vaccine ou pas vous pouvrez être contagieux donc, tout ça ne sert à rien et tout le monde le sait, j’espère.. Pour la vie privée, c’est mort depuis longtemps alors… Soit vous êtes branchés ou pas, c’est votre choix mais difficile de ne pas été branché sans être hors la société.

  • A l’heure où de gros projets blockchain sur la protection des données personnelles sur le web sont lancés, tout ce remue-ménage fait vraiment pitié….!!

  • Les commentaires sont fermés.

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

La France est un des pays les plus corsetés, les plus sclérosés du monde. Les droits naturels, liberté, propriété, personnalité, sont mis à mal par 483 impôts, prélèvements, et par 78 codes.

Leur objectif n’est pas de financer, ou d’organiser des services utiles à la population.

Il est l’achat de voix. Il est de modifier les comportements de chacun dans le sens souhaité par les politiciens. Le libre arbitre disparaît, les individus sont contrôlés.

Non pas contrôlés au sens surveillés. Depuis l’arrivée massive du numérique... Poursuivre la lecture

Situation étonnante s’il en est, la mesure phare de l’autoritarisme sanitaire macronien, le pass sanitaire, a été rejetée grâce à une alliance de circonstances entre toutes les oppositions, de l’extrême gauche à l’extrême droite.

L’article 2 de la loi sanitaire présentée devant l’Assemblée nationale a été rejeté par 219 voix contre 195. Il permettait d’instaurer jusqu’en janvier un pass aux frontières et entre la Corse, les outre-mer et l’Hexagone au nom de la lutte contre le covid.

Le Premier ministre Élisabeth Borne s’en est p... Poursuivre la lecture

Le pass sanitaire est devenu à la politique française ce que le sparadrap est au capitaine Haddock. Malgré tous les efforts du monde pour s’en défaire, il revient sous d’autres formes, à croire que le gouvernement cherche à l’imposer, quoiqu’il en coûte.

Le projet de loi qui sera présenté le 11 juillet portant sur le maintien d’un dispositif de veille sanitaire contre le covid comporte deux grands axes. Le premier maintient jusqu’au 31 mars 2023 les traitements informatiques SI-DEP et Contact Covid, le second laisse la possibilité au g... Poursuivre la lecture

Voir plus d'articles