Le pass sanitaire risque-t-il de laisser filer nos données personnelles ?

Généralisé depuis le 9 août pour les citoyens français, le pass sanitaire a remis au goût du jour la technologie du QR code. Dans ce petit damier numérique résident les informations nécessaires pour circuler librement dans les établissements ou moyens de transports concernés, mais également pour voyager à l’étranger. Et de fait, notre pass contient beaucoup d’informations.

En plus de l’identité -noms, prénoms, date de naissance-, s’y trouvent pour les vaccinés le nombre de doses reçues, le nombre de doses nécessaires pour terminer le cycle vaccinal, le statut du cycle vaccinal (complet ou non), la date de la dernière injection, la marque et le nom du vaccin, ainsi que son agent prophylactique. En somme, une sorte de carnet de santé qui en dit long, et peut valoir de l’or sur certains marchés peu scrupuleux.

Selon le spécialiste en cybersécurité Florian Maury, “les pass sanitaires eux-mêmes continuent de poser des problèmes de sécurité des données personnelles, puisqu'ils contiennent des données contraire à la loi du 31 mai, et à celle du 5 août. De fait, ils ne suivent pas le précepte de minimisation des données requis par le RGPD et mentionné dans l'avis de la Cnil du 12 mai.” Concrètement, le spécialiste en cybersécurité précise que le pass contient trop d’informations par rapport à ce qu’on lui demande.

Dans les faits, les informations vaccinales peuvent parfois s’avérer nécessaires, par exemple pour voyager à l’étranger. Le gouvernement a opté pour l’utilisation d’un pass unique pour des raisons techniques, bien que ces informations vaccinales soient inutiles pour les activités du quotidien (bars, cinémas ou restaurants).

En France et dans la vie quotidienne, la loi du 5 août dispose effectivement que “la présentation, sur papier ou sous format numérique, des documents (ici, le pass sanitaire) est réalisée sous une forme permettant seulement aux personnes ou aux services autorisés à en assurer le contrôle de connaître les données strictement nécessaires à l’exercice de leur contrôle." Qui, donc, peut avoir accès à ces informations?

Gardes-fous

Pour permettre le contrôle des QR codes, le gouvernement a proposé l’application TousAntiCovid Vérif. Elle a été développée par IN groupe, l’ex-imprimerie nationale, détenue entièrement par l’État. Cette application a été créée pour répondre à des critères précis: permettre aux contrôleurs de vérifier la validité des pass, sans avoir accès à toutes les informations qu’il contient.

Ainsi, lorsqu'un restaurateur scanne un QR code avec TousAntiCovid Vérif, il ne voit s’afficher que les noms et prénoms, date de naissance, et la mention “valide” ou “non valide”. Il n’a donc à sa disposition aucune des informations liées à une éventuelle vaccination, nécessaires pour certains contrôles aux frontières: certaines destinations exigent en effet de connaître le type de vaccin pour laisser les personnes entrer sur leur territoire.

Le 7 août, le gouvernement a annoncé la possibilité d’utiliser d’autres applications pour exécuter les contrôles du pass. Avant tout destiné aux compagnies aériennes ou à la SNCF pour qu’elles mettent en place un système mutualisant les contrôles de billets et de pass, cet assouplissement a immédiatement fait réagir la Cnil. Pour la Commission, accepter l’utilisation d’autres applications de contrôle exige des garanties.

Contrôler les contrôles

Le 10 août, la Cnil exhortait le gouvernement à "s'assurer que les dispositifs de lecture alternatifs à l’application TousAntiCovid Vérif respectent les conditions fixées par arrêté du ministre chargé de la santé avant utilisation par les acteurs en charge du contrôle". Parmi ces dispositions, on retrouve l’interdiction d’afficher plus d’informations que nécessaire. Une application tierce destinée aux restaurateurs ne pourra pas donc pas afficher de données liées à la vaccination.

"Les entreprises qui voudront accéder à des applications de contrôle alternatives à TousAntiCovid Vérif pourront faire appel à des prestataires pour les développer. Ces derniers devront, eux, se mettre en conformité avec le ministère de la Santé et des Solidarité, qui doit publier sous peu un cahier des charges pour encadrer ces applications", précise à BFMTV Armand Heslot.

Si les entités émettrices de systèmes de contrôle doivent effectivement s’enregistrer auprès du ministère, rien n’empêche à proprement parler un établissement d’utiliser un lecteur de QR code qui permette de lire toutes les données contenues dans le pass.

Vers un pass allégé ?

Le problème ne réside pas toujours dans le contrôle du QR code en lui-même. Comme l’ont montré le spécialiste en cybersécurité Florian Maury ou encore nos confrères de Libération, la manipulation pour accéder à ces données est élémentaire.

Les données contenues dans le QR code ne sont pas chiffrées. N’importe qui, avec un peu de recherches, peut utiliser - de façon illégale - un lecteur alternatif de QR code, puis décoder les données qu’il contient avec un script spécifique, que le développeur Gilbsgilbs présente ici:

Depuis quelques semaines, l’application TousAntiCovid permet elle-même de scanner directement un QR Code faisant office de pass sanitaire pour le sauvegarder et l’utiliser par la suite. Jusque-là, il était impératif de scanner un second QR Code dédié, affiché sur les résultats de test ou de vaccination, désormais inutile. De fait, l’utilisation de TousAntiCovid (par erreur ou pour “siphonner” des pass) constitue un risque supplémentaire, accentué par la confusion possible avec l’application TousAntiCovid Verif.

“Des dérives et des gens mal intentionnés, il y en a toujours” regrette Eric Fleury, directeur du centre de recherches Inria de Paris. “Evidemment, ces questions nous poussent à nous diriger vers un pass qui contiendrait moins d’informations”, poursuit le directeur.

L’utilisateur doit rester maître de ses données

Malgré toutes les recommandations de la Cnil, la première étape pour sécuriser ses données personnelles doit être engagée par l’utilisateur. Il est donc indispensable de ne jamais divulguer son QR code sur les réseaux sociaux, ou de vérifier l’application utilisée au moment d’un contrôle.

Des précautions que même le gouvernement peut oublier de prendre: le 10 août, lors de la dernière mise à jour de l’application TAC, un pass “témoin” au nom de Jean-Spécimen Barbier a été proposé. Si l’application TousAntiCovid précise que ce pass semble être frauduleux, aucune mention n’en est faite lorsqu’on le scanne avec TousAntiCovid Vérif. Une situation qui pourrait pourtant changer prochainement avec de nouvelles mesures de protection.

La liste de révocation

Avec la multiplication des fraudes recensées depuis la généralisation du pass sanitaire, des mesures s’imposent. C’est dans ce cadre que Cédric O, le secrétaire d’État chargé du numérique, a fait mention d’une “liste noire” répertoriant les pass utilisés de manière illégale. Une base de données qui serait régulièrement envoyée sur les serveurs de TousAntiCovid et TousAntiCovid Verif afin d’annuler la validité de QR Codes utilisés frauduleusement.

Depuis cette annonce, Piotr Chmielnicki, consultant en cybersécurité, tient à jour une liste des empreintes numériques des pass révoqués en se basant sur les informations fournies par le gouvernement: seulement 12 sont recensées à ce jour.

De fait, les listes sont bien implémentées dans le code des applications. Seulement, elles ne sont toujours pas déployées. “Sans le feu vert de la Cnil, on ne peut pas mettre en place les listes noires”, explique Eric Fleury, directeur du centre de recherche Inria de Paris.

Le 12 août, plus de 200 faux pass sanitaires auraient été générés par des pirates qui se sont infiltrés dans des comptes de l'Assurance maladie détenus par des médecins. Ils sont toujours dans la nature à ce jour. Selon Piotr Chmielnicki, consultant en cybersécurité, "la difficulté à identifier ces pass est l'une des causes pouvant empêcher leur révocation". Reste à savoir quelles seront les mesures du ministère pour que ces pass soient, comme l'annonce Cédric O, rendus inutilisables.