Données médicales, anonymat, surveillance : un pass sanitaire passoire

Selon plusieurs experts, le pass sanitaire serait une véritable passoire en matière de protection des données. C’est un véritable danger pour les libertés individuelles.

Partager sur:
Sauvegarder cet article
Aimer cet article 0
collander by catherine (creative commons) (CC BY-NC 2.0)

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Données médicales, anonymat, surveillance : un pass sanitaire passoire

Publié le 9 juin 2021
- A +

Par Frédéric Mas.

Alors que le pass sanitaire est mis en place en France ce mercredi 9 juin, des voix s’élèvent parmi les experts pour mettre en garde contre un outil jugé à la fois incapable de protéger la vie privée des citoyens et posant les jalons de l’État de surveillance.

Les pouvoirs publics se veulent rassurants, et à quelques exceptions notables, la presse a relayé la bonne parole gouvernementale sans inquiétude. Même la CNIL a donné son feu vert à l’architecture du précieux document. Sur le site du gouvernement, il est précisé noir sur blanc que les données sanitaires seront sécurisées :

« Lors d’un contrôle du pass sanitaire par une autorité ou une personne habilitée, l’opération de vérification/lecture se fait en local (grâce à l’application TousAntiCovid-Verif), sans conservation de données. Seule la signature de votre preuve sanitaire est vérifiée sur un serveur central avec l’application TousAntiCovid Verif pour s’assurer de son authenticité. »

Plus loin, le texte énonce que les documents de preuve composant le pass sanitaire seront munis d’un QR code qui pourra être flashé à l’aide de l’application TousAntiCovid Verif : « Cette application aura le niveau de lecture « minimum » avec juste les informations « pass valide/invalide » et « nom, prénom », « date de naissance », sans divulguer davantage d’information sanitaire. »

Le pass sanitaire est une passoire

Pourtant, pour Florian Maury et Piotr Chmielnicki, respectivement spécialiste en sécurité des réseaux et des protocoles et consultant en cybersécurité, le pass sanitaire est une véritable passoire en matière de protection des données :

« N’importe qui équipé d’un lecteur de code-barres grand public peut lire les informations contenues dans le pass […]Les protections techniques se limitent à prévenir la modification d’un pass existant ou la fabrication d’un faux pass. Il n’existe aucune protection contre la lecture du pass par quelqu’un d’indiscret. »

Les données médicales sont donc en clair pour tout le monde, et il suffirait d’un smartphone pour que n’importe qui puisse les lire. Selon Florian Maury et Piotr Chmielnicki :

« La protection de la confidentialité des informations contenues dans le pass (chiffrement des données) est difficile à mettre en œuvre, car elle implique de diffuser une clé cryptographique permettant le déchiffrement, par exemple au sein d’une application dédiée. Si cette clé fuitait, nous serions à nouveau avec la problématique de la confidentialité des informations du pass, puisque tout le monde pourrait procéder au déchiffrement des données »

Mais ce n’est pas tout : les informations contenues dans le 2D-DOC des certifications de vaccination, lisibles par n’importe qui, permettent de déduire des informations supplémentaires sur l’état de santé de ses porteurs, contrairement à ce qu’affirme le site du gouvernement.

À partir du type de vaccin et de molécule, du nombre de doses reçues, de la date de la dernière injection, et de l’état du cycle de vaccination, il est possible de savoir si le porteur du pass a déjà été infecté par le Covid, s’il est immunodéprimé ou encore s’il est prioritaire dans le cadre de la campagne vaccinale. On est loin du quasi-anonymat, et cette défaillance en matière de cybersécurité pourrait coûter très cher, alors que le chef de l’État a assuré en faire une priorité.

En effet, le 18 février dernier, Emmanuel Macron a alloué près de 350 millions d’euros au Ségur de la Santé pour répondre aux cyberattaques quotidiennes contre les établissements de santé français. Aujourd’hui, le pass vaccinal crée une brèche de sécurité qui pourrait réduire ces efforts à néant : sur le dark web, le marché des données de santé est florissant.

Le pass sanitaire vous surveille-t-il ?

L’analyse critique de Florian Maury et Piotr Chmielnicki ne s’arrête pas là. Ils pointent du doigt l’opacité de Tousanticovidverif en matière de récolte de données. L’application disponible n’est pas en open source, elle demande une connexion internet pour être installée et renvoie vers un serveur (IN Groupe). La simple transmission d’informations au serveur d’IN Group ajoute une métadonnée : l’adresse IP du smartphone qui se connecte au serveur.

À partir de là, les déplacements du porteur du pass peuvent être géolocalisés et s’installe le risque de la surveillance de masse. Pour les deux experts, « plusieurs chercheurs s’accordent à dire que le contenu du Pass sanitaire, données personnelles et données médicales, sont transmis, in extenso, aux serveurs d’IN Groupe. Comme la politique de vie privée de l’application TousAntiCovid Verif affirme qu’aucune communication n’est effectuée avec les serveurs d’IN Groupe, il est impossible de déterminer ce qui est fait avec ces dernières, ni pour combien de temps elles sont conservées. »

Antoine Darodes, directeur de cabinet de Cédric O, reconnaît le risque mais assure que le gouvernement travaille à le neutraliser : « Aujourd’hui il y a bien un envoi de données vers un serveur central, nécessitant une connexion internet. Dans les prochains jours, une mise à jour permettra de tout avoir en local sans nécessiter une connexion internet pour vérifier si la certification est en rouge ou en vert » a-t-il déclaré au Monde Informatique mardi 8 juin.

La surveillance de masse n’est peut-être pas le but recherché, et le gouvernement s’est engagé, au moins verbalement, à limiter les risques sur la vie privée sur ce point précis. Mais la pression politique pourrait changer la donne.

Collecter les données personnelles au nom de la crise sanitaire n’est plus un tabou pour l’État, comme en témoigne la publication le 3 juin dernier d’un rapport sénatorial portant sur le recours aux outils numériques dans la prévention et la gestion des pandémies. Celui-ci préconise de mutualiser les fichiers de données par souci d’efficacité de l’action publique. Mais qu’est-ce qui garantit, encore une fois, que ces fichiers à usage sanitaire ne seront pas réaffectés à d’autres usages sécuritaires ?

Florian Maury et Piotr Chmielnicki ont lancé l’alerte et déposé une plainte auprès de la CNIL, tout en prévenant le Défenseur des droits. À l’heure actuelle, ils sont toujours en attente d’une réponse face à ces dérives inquiétantes.

 

Voir les commentaires (13)

Laisser un commentaire

Créer un compte Tous les commentaires (13)
  • L’état s’occupe du problème… comme dirait H16, ça va forcément bien se passer.

  • Cela voudrait donc dire que le pays du minitel, d’Hadopi et de ParcoursSup n’est pas très doué pour faire des applications smartphone ?
    Alors là, ça m’en bouche un coin ! 😀
    Refus de transparence, non-respect du secret médical, absence de sécurisation, géolocalisation des utilisateurs, ce ne sont que des détails techniques hein. Au moins l’appli ne plante pas et ne rame pas trop, c’est déjà un bien bel exploit technologique pour notre pays.
    C’est sympa le monde d’après.
    Tu es libre de choisir : soit tu installes une appli foireuse qui divulge tes données et te piste partout où tu vas, soit tu fais une croix sur les vacances en Corse ou dans les DOM-TOM, et aussi sur tout événement public de 5000 personnes (ah non, entre-temps, c’est passé à 1000 sans que personne ne s’en offusque).
    Heureusement que notre cher président nous a assuré fin avril que le pass sanitaire ne servirait jamais à différencier les français, sinon j’aurais des doutes !
    Bref….
    Je sais pas où on va, mais on y va tout droit, en ligne droite et à toute vitesse, et j’ai le sentiment que la destination ne sera pas bien réjouissante.

      • ces élus ne sont que des traitres aux citoyens !!!

        • Vous noterez le raisonnement complètement hors-sol du sénateur:

          « Le sénateur René-Paul Savary s’étonne que les Français acceptent la récolte de données par les grands groupes comme Amazon, et refusent de confier leurs données à l’État pour protéger les autres »

          Entre accorder ma confiance aux GAFAM ou à l’état, il y a bien longtemps que mon choix est fait. Si les premiers ont véritablement changé et amélioré mon existence, le second n’a fait que me pourrir la vie, entraver mes libertés les plus élémentaires, sans oublier d’organiser un gigantesque pillage pour ce que je considère comme de simples cacahuètes !!

      • Tout ça commence à furieusement ressembler au crédit social chinois…

  • « un pass sanitaire passoire »

    Ben pour bien essorer l’administré, il faut laisser des petits trous dans le tambour de la machine …

  • Il suffit de constater l’efficacité de l’état en terme de numérique (Louvois, Chorus, etc car la liste est longue) pour n’éprouver que des craintes à l’idée que ce sont les mêmes qui prétendent garantir la sécurité de nos données.
    Les cyberattaques sur les hôpitaux ne sont d’ailleurs pas si nombreuses que cela au vu du très faible niveau de protection proposé (j’y travaille, je le vois tous les jours).

  • Vaccine ou pas vous pouvrez être contagieux donc, tout ça ne sert à rien et tout le monde le sait, j’espère.. Pour la vie privée, c’est mort depuis longtemps alors… Soit vous êtes branchés ou pas, c’est votre choix mais difficile de ne pas été branché sans être hors la société.

  • A l’heure où de gros projets blockchain sur la protection des données personnelles sur le web sont lancés, tout ce remue-ménage fait vraiment pitié….!!

  • Les commentaires sont fermés.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Si nous constatons que le régime fédéral de Russie - au regard de sa répression de toute forme d’opposition, de sa surveillance de plus en plus étroite de sa population - est de plus en plus souvent considéré par certains observateurs, comme non plus autoritaire, mais totalitaire -  ces constats devraient faire réfléchir les citoyens des pays aujourd’hui démocratiques qui, certes pas à la même échelle, multiplient les outils de surveillance des citoyens.

Si le pas entre régime autoritaire et totalitaire peut être franchi, celui d’un ré... Poursuivre la lecture

Par Mohammed Chergui-Darif et Bruno Tiberghien.

 

Collectivités territoriales, administrations publiques, hôpitaux, écoles et universités, aucune de ces organisations publiques n’est à l’abri des cyberattaques, que la Défense française définit comme :

« (toute) action volontaire, offensive et malveillante, menée au travers du cyberespace et destinée à provoquer un dommage (en disponibilité, intégrité ou confidentialité) aux informations ou aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils son... Poursuivre la lecture

Article disponible en podcast ici.

 

« Les combats très intimes que nous menons [...] sont à chaque fois bousculés parce que des contenus qui disent exactement le contraire circulent librement sur les plateformes... »

Cette phrase ne provient ni de Poutine ni de Xi Jinping, mais de Macron lui-même dans le dossier de presse de la proposition de loi « visant à instaurer une majorité numérique et à lutter contre la haine en ligne ».

Nos députés vont avoir la chance de débattre d’une loi fo... Poursuivre la lecture

Voir plus d'articles