Quatre journalistes de Numerama ont reçu une alerte orange sur leur application TousAntiCovid pour un faux passage dans une fausse discothèque. Le nouveau dispositif de traçage des contacts avec les QR code n’est pas aussi sûr que l’on veut bien nous le faire croire.
Une fausse discothèque pour l’expérience
Deux semaines avant le déploiement massif du dispositif, Numerama a souhaité tester les nouvelles fonctionnalités de l’application TousAntiCovid.
Pour ce faire, le gouvernement ayant mis à disposition un générateur de QR-code dès le 25 mai, les quatre journalistes en ont donc profité pour créer un QR-code d’un établissement de type « discothèque » pouvant accueillir « 1 501 à 2 000 » personnes.
Ils ont ensuite scanné le QR Code (en télétravail, ils n’étaient donc pas au même endroit au même moment), entre 14h56 et 15h49, toujours le 25 mai. Ce faisant, ils ont créé une entrée dans le journal du cahier de rappel de leur application. Elle indique la date, l’heure du scan, et l’identifiant du lieu — une suite de 32 lettres et chiffres.
« Vous avez fréquenté un lieu avec risque de contamination modéré. Faites-vous tester et respectez les mesures barrières »
Le lendemain, dès 8h30, surprise : ces quatre journalistes ont reçu une notification orange,— pour ne pas dire « injonction » — dans leur application : « Vous avez fréquenté un lieu avec risque de contamination modéré. Faites-vous tester et respectez les mesures barrières », avertissent-elles.
Une des alertes indique que la « date de contact approximative » était « entre le 23 et le 25 mai ». Les trois autres indiquent, elles, que le contact s’est produit « entre le 24 et le 26 mai ». Plutôt cohérent pour l’instant, vu que qu’ils ont scanné le code le 25 mai.
En affichant des tranches de trois jours au lieu de la date exacte, les développeurs de l’application veulent empêcher les utilisateurs de pouvoir facilement connaître le lieu où ils ont été exposés au Covid — pour le coup, c’est loupé.
Pas de bug, d’après les responsables du dispositif
Comment est-il possible que ces quatre journalistes, qui ont scanné un même code inventé de toutes pièces par Numerama, et dont aucun ne s’est signalé positif, aient pu recevoir une notification orange dès le lendemain ?
Ceux-ci émettent la possibilité qu’une personne positive, ayant eu accès au QR-code par l’intermédiaire d’un de leurs articles mis en ligne et contenant ce fameux « faux » QR-code, — ou comment se tirer une balle dans le pied — se serait déclaré comme visiteur du lieu, permettant ainsi l’envoi de l’alerte aux journalistes. Comme par hasard, la faute est rejetée sur une hypothétique personne mais surtout pas sur l’application. C’est d’ailleurs la version que l’Inria, une des branches du gouvernement en charge du projet, retiendra, rejetant l’éventualité d’un bug.
Dans son article Numerama explique que cette mésaventure ne permet pas de remettre en doute l’intégrité du dispositif. Rappelons que quatre journalistes ont créé un QR-code pour un établissement inexistant, qu’ils ont pu mettre à disposition ce QR-code à tous leurs potentiels lecteurs et qu’il suffit à n’importe qui, en possession d’un test positif, de pouvoir créer de faux cas contacts, contraignants certains à devoir aller se faire tester pour rien.
Ils avancent même que le système n’expose pas les données personnelles, au contraire des cahiers de rappel. Et pourtant…
TousAntiCovid est un panier percé pour les données
Contrairement à ce que l’on peut penser, cette application de vérification envoie toutes les données médicales contenues dans les 2D-DOC à un serveur central. Ces données transitent par ailleurs en clair par une société américaine.
Contacté par 01net.com, IN Groupe nous a confirmé que les données des 2D-DOC étaient bien envoyées vers un serveur central à chaque vérification, mais qu’aucune information personnelle n’y serait stockée. « L’usage lié aux déplacements internationaux (Pass Voyages) nécessite de pouvoir vérifier la validité des éléments de preuve sur un serveur distant, après anonymisation des données personnelles, en raison de la disparité et de la volatilité des règles imposées par les différents pays de destination. La CNIL, dans sa délibération du 7 juin 2021, a jugé cet usage conforme au RGPD », nous explique IN Groupe. Toutefois, la société concède que pour les évènements nationaux de plus de 1000 personnes, un tel échange de données n’est pas vraiment nécessaire. « C’est pourquoi une mise à jour de TAC Verif est en cours afin de permettre une vérification en local sur le smartphone », souligne IN Groupe.
« La solution Akamai est une plateforme permettant la supervision et l’administration de la sécurité d’un système. Elle permet en particulier de lutter contre les attaques par déni de service. Elle est inscrite au catalogue de l’ANSSI. IN Groupe a conclu avec Akamai un accord garantissant que seuls les serveurs européens d’Akamai seraient sollicités », nous explique IN Groupe.
Enfin, IN Groupe nous indique avoir utilisé de façon « provisoire » des outils de reporting technique comme Crashlytics. « Cette phase de test étant achevée, les outils de reporting ont été ôtés de l’application. Cette mise à jour est en cours », nous signale IN Groupe. Par ailleurs, « IN Groupe a convenu avec l’INRIA de publier le code source de l’application. Celui-ci sera rendu public dans les prochains jours »
À première vue, il n’y a pas lieu de s’inquiéter quand on montrera son carnet de tests et de vaccinations à l’aéroport ou à l’entrée d’une salle de spectacle. Car l’application TousAntiCovid Verif (TACV), qui sera utilisée pour vérifier la validité d’un test ou d’un certificat de vaccination ou de rétablissement, ne permet « qu’un affichage des informations contenues dans le 2D-DOC. Aucun transfert ou partage n’est réalisé lors du contrôle », comme on peut le lire dans un document relatif à la confidentialité des données de cette application, dont l’auteur est IN Groupe, autrement dit l’Imprimerie nationale.
En lisant cette phrase, on a l’impression que cette vérification se passe entièrement en local sur le smartphone du contrôleur d’accès, ce qui n’est pas vrai.
Plusieurs hackers ont analysé le comportement de cette application et ont découvert que cette vérification se faisait en réalité à distance. « Tout le contenu du 2D-DOC est envoyé vers un serveur d’IN Groupe qui renvoie le résultat de la vérification », nous explique « GilbsGilbs », un développeur passionné par la rétro-ingénierie.
Il a même vérifié ce transfert d’information de deux façons différentes : par une décompilation de l’application et par une attaque de type de « Man in the middle ».
Tous les 2D-DOC qui seront testés par TACV seront donc partagés avec IN Groupe. Certes, cette société souligne qu’il n’y a « aucun enregistrement ni aucun stockage », mais cette phrase ne concerne peut-être que l’application mobile, pas le serveur sous-jacent. Ce n’est pas très clair.
Les données passent en clair chez Akamai
Malheureusement, des sociétés tierces américaines peuvent également accéder aux données 2D-DOC lues par TACV. Selon GilbsGilbs, l’application envoie la totalité du 2D-DOC par une requête HTTPS. Mais cette connexion sécurisée ne se termine pas chez IN Groupe, mais chez son prestataire Akamai, un fournisseur de serveurs proxies.
Cette société américaine verra donc passer tous les 2D-DOC en clair sur ses serveurs. Elle pourrait donc collecter en douce des données médicales de millions de Français, ce qui ne semble pas vraiment approprié au regard du RGPD.
Par ailleurs, l’application TACV utilise des interfaces de programmation tierces et propriétaires comme Google Firebase ou Crashlytics.
A lire aussi sur Le Média En 4-4-2 :
☞ La Quadrature du Net attaque devant le Conseil d’État l’obligation d’identification du Pass sanitaire
☞ Les sénateurs proposent une dictature démocratique avec le « Crisis Data Hub »
☞ Pass sanitaire : « Ce n’est pas une bonne chose de s’habituer à cet outil dans une démocratie »