Broken-by-Design/posts/pass-sanitaire.md

191 lines
19 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
title: "Pass sanitaire et vie privée : quels sont les risques ?"
slug: pass-sanitaire
authors: ["Florian Maury", "Piotr Chmielnicki"]
description: "Le gouvernement français et l'Europe ont sorti leurs pass sanitaires dans le cadre de la crise sanitaire du COVID-19. Nous avons analysé le pass sanitaire français. Quels sont ses risques pour la vie privée ?"
date: 2021-06-03T18:00:00+02:00
type: posts
draft: false
categories:
- privacy
tags:
- privacy
- cryptography
- covid19
- pass sanitaire
lang: fr
---
Cet article est sous licence CC-BY-ND.
Auteurs :
* [Florian Maury](https://infosec.exchange/@X_Cli)
* [Piotr Chmielnicki](https://twitter.com/piotrcki)
Les auteurs de cet article peuvent être contactés :
* par email : florian.maury-pass-sanitaire VOUS-SAVEZ-QUOI broken-by-design.fr
* par chat, avec Matrix : #pass-sanitaire:matrix.piotr.paris
----
**Mise à jour importante du 10 juin 2021** : [l'application TousAntiCovid Verif](https://twitter.com/gilbsgilbs/status/1402689482193879045), dans sa dernière version à la date d'écriture de cette ligne, ne fait plus appel à un serveur centralisé pour valider les pass sanitaires. Elle n'envoie plus de données à un prestataire américain. Elle ne contient plus de services Google Firebase. Hélas, le reste de l'article et de la vidéo continuent d'être pertinents pour l'heure. La Quadrature du Net effectue [une action en justice](https://www.laquadrature.net/2021/06/09/passe-sanitaire-attaquons-lobligation-didentification/) en ce sens.
----
Il existe une vidéo compagnon, pour ceux qui préfèrent regarder que lire.
Sur Peertube :
{{< peertube peertube.stream a1b37a25-fa83-4350-8da9-db3f89c662b0 >}}
En téléchargement : [Haute qualité (1300MB)](https://data.piotr.paris/pass-sanitaire.mp4) / [Faible qualité (90MB)](https://data.piotr.paris/pass-sanitaire-br.mp4)
----
Ce document porte sur le pass sanitaire, qui est en train d'être mis en place par le gouvernement français et qui entrera en vigueur le 9 juin 2021. Il vise à mettre au jour de fausses informations diffusées par certains membres du gouvernement, à expliquer et à illustrer pourquoi le pass sanitaire, tel qu'il est conçu, met en danger la vie privée, mais aussi des données médicales des citoyens. En outre, il accroit le risque de vol d'identité.
Le pass sanitaire est présenté sous la forme d'un code barre en deux dimensions, appelé datamatrix. Ce code barre, comme son nom l'indique, encode des informations. Il est en cela similaire aux codes barres des produits que vous achetez en grande surface, et que vous passez à la caisse. Il est juste en deux dimensions et contient plus d'information. Au lieu d'un numéro qui sert à indiquer à la caisse enregistreuse la nature du produit que vous achetez, ce qui lui sert à connaitre le prix à imputer, le code barre du pass sanitaire contient vos informations personnelles et des informations relatives à la vaccination. L'encodage de ces informations ne constitue pas une mesure de protection des données puisque n'importe qui équipé d'un dispositif de lecture de code-barres peut acquérir les données qui ont été encodées. Le pass sanitaire ne fait pas exception.
D'après le site [Service Public.fr](https://www.service-public.fr/particuliers/actualites/A14896), le pass sanitaire contient les informations suivantes :
> * nom, prénom ;
> * date de naissance ;
> * type de certificat et résultat éventuel (test PCR ou antigénique ou vaccination première et seconde dose) ;
> * type de vaccin le cas échéant ;
> * date et heure du certificat.
Le site [gouvernement.fr](https://www.gouvernement.fr/pass-sanitaire-toutes-les-reponses-a-vos-questions) indique la même liste.
Nous avons analysé le contenu du pass sanitaire, à l'aide d'outils grands publics, trouvables sur n'importe quel Store d'applications, comme le Google Play Store ou l'Apple Store. Par exemple, Barcode Scanner de ZXing Team sur le Google Play Store.
Nous affirmons que la liste dressée par les sites gouvernmentaux est incomplète.
Le pass est composé de 3 types d'informations :
* des informations techniques, qui permettent de vérifier l'authenticité du pass sanitaire ; on y retrouve des informations sur l'émetteur du pass sanitaire, ainsi que la date d'émission, et le sceau d'authenticité (une signature numérique) ;
* des informations personnelles : nom, prénom et date de naissance ;
* des informations de santé : le type de molécule injectée, le nom du vaccin reçu, le nombre de doses reçues, la date de vaccination et si ce nombre est suffisant pour être protégé de manière optimale pour la personne vaccinée.
![Décomposition du pass sanitaire](/pass_content.png)
Au-delà de ces informations de santé, il est également possible d'inférer des informations de santé encore plus privées sur certains citoyens : ont-il déjà été infectés par la COVID-19 (besoin que d'une seule dose) ? Sont-ils immunodéprimés (besoin de trois doses) ? Sont-ils parmis les citoyens prioritaires pour recevoir des injections tôt dans le calendrier vaccinal ?
Ces informations dépassent largement le cadre et la finalité du pass sanitaire.
Les sites gouvernementaux (comme gouvernement.fr et servic public.fr) se veulent cependant rassurants. Ils précisent :
> Pour accéder à un lieu, un établissement ou un événement, seuls les ouvreurs engagés par les organisateurs pourront lire :
> * nom et prénom ;
> * date de naissance ;
> * accès autorisé ou accès refusé, en fonction des règles sanitaires imposées pour accéder au lieu (les ouvreurs ne pourront pas connaître le détail du type de certificat sanitaire présenté).
De même, M. Cédric O, secrétaire d'État, chargé de la transition numérique, indique dans son interview exclusive donnée au journal [Le Parisien](https://www.leparisien.fr/societe/pass-sanitaire-carnet-de-rappel-numerique-cedric-o-devoile-les-nouveautes-de-tousanticovid-24-05-2021-BGOIIX3GSRH7XAUPCDZDMNZO3Y.php) :
> Comment les professionnels vérifieront-ils le pass sanitaire numérique ?
>
> Dici le 9 juin, nous aurons déployé lapplication de lecture appelée TousAntiCovid Verif. Pour les compagnies aériennes, il y aura une version spécifique car elles ont obligation davoir accès au contenu détaillé, avec la date de vaccination, le type de vaccination etc. Elles pourront la télécharger sur les stores, avec un contrôle daccès par identifiant. En revanche, les organisateurs dévènements ou les lieux concernés par le pass sanitaire en France, ne connaîtront pas ces informations. Ils ne sauront que le nom, le prénom et la date de naissance de la personne concernée et ne verront apparaître que « vert » ou « rouge » pour valider ou non laccès. Pour eux, lapplication sera en accès libre sur les stores.
Comme nous l'avons démontré plus tôt dans ce document, il n'existe aucune protection contre l'obtention de l'ensemble des données contenues dans le pass sanitaire. Tout lecteur de code barre grand public est suffisant. Il n'est nul besoin d'être membre d'une compagnie aérienne pour obtenir une application aux pouvoirs supérieurs permettant d'acquérir des informations de santé sensibles sur une personne qui exposerait volontairement ou par mégarde son pass sanitaire, sur Internet, dans une file d'attente, ou à un personnel de sécurité à l'entrée d'un événement.
Il existe également d'autres parties qui pourraient être mises au courant du contenu de votre pass sanitaire. D'après un [tweet du compte TousAntiCovid du 20 mai 2021](https://twitter.com/TousAntiCovid/status/1395317625161408512):
> #COVID19 | Les autorités compétentes peuvent lire vos certificats de tests avec lapplication #TousAntiCovid Verif. Seule la signature du certificat est vérifiée par un serveur dédié d'@IN_Groupe respectant toutes les règles de sécurité des systèmes d'information.
Cette assertion est également corroborée par la demande de l'application TousAntiCovid Verif d'avoir un accès complet au réseau, lors de son installation. De même, on trouve dans les entrailles de l'application TousAntiCovid Verif, une URL (`https://portail.tacv.myservices-ingroupe.com`), et ainsi qu'un fichier comportant une fonction `call2dDoc`, qui fait une requête HTTP avec des paramètres `2ddoc`, `latitude` et `longitude`. Enfin, lorsque l'on scanne un pass sanitaire en mode avion, TousAntiCovid Verif affiche un message d'erreur "Erreur de connexion" et n'affiche pas de résultat.
Il n'est pas aisé de déterminer clairement ce que fait cette fonction, car l'application TousAntiCovid Verif, contrairement à l'application TousAntiCovid, n'est pas en sources ouvertes. Néanmoins, [gilbsgilbs](https://twitter.com/gilbsgilbs) a su faire de l'ingénierie inverse et [il confirme nos craintes et observations](https://twitter.com/gilbsgilbs/status/1401129388234657794).
Il convient de noter qu'une telle communication réseau génère des meta-données de communication avec le serveur ; il y a notamment l'adresse IP de l'équipement faisant tourner l'application TousAntiCovid Verif. Cette adresse IP permet la géolocalisation de l'équipement faisant tourner TousAntiCovid Verif, par l'entremise des opérateurs de télécommunication, comme Orange.
En croisant ces données, l'État serait donc en mesure de dresser un listing des citoyens et de leurs lieux de fréquentation, grâce au pass sanitaire.
Il convient de noter que l'envoi des données (complètes ou sous la forme d'empreintes cryptographiques) n'est nullement nécessaire pour la vérification de la signature numérique du pass sanitaire. Toutes les informations nécessaires à cette vérification sont publiques. La validation du pass sanitaire peut donc être accomplie sans problème directement par l'application de lecture du code barre. Si un lecteur de code barre est jugé par le gouvernement comme étant suffisamment de confiance pour lire les données médicales et afficher un verdict, il l'est aussi pour la vérification de la signature.
Nous ne sommes pas les seuls à dénoncer le pass sanitaire, et la quantité d'informations qu'il recèle. La CNIL, la Commission Nationale Informatique et Liberté, a été saisie et a rendu un avis le 12 mai 2021 :
> 36. La Commission considère quun dispositif visant à ne permettre la vérification que sur la base dun résultat de conformité réduirait considérablement les données accessibles aux personnes habilitées à vérifier le statut des personnes concernées, et notamment de ne pas indiquer si elle a été vaccinée, a fait un test ou sest rétablie dune infection antérieure à la COVID-19, conformément au principe de minimisation des données
>
> 37. Un tel dispositif implique le téléchargement, du côté des vérificateurs, dune application permettant de décoder les signaux, probablement sous forme de code-QR, qui contiendront linformation permettant de faire apparaître un résultat vert ou rouge et den vérifier lauthenticité. Dans lhypothèse où ce code-QR correspondrait aux codes actuellement disponibles dans la fonctionnalité « TousAntiCovid Carnet », la Commission relève que celui-ci contient plus dinformations (nom, prénom, date de 8 naissance, date dexamen, type dexamen, résultat). Il est donc possible, dans ce cas, quun tel dispositif soit détourné de façon à ce que le lecteur (téléphone ou lecteur dédié) lisant le code-QR puisse accéder à davantage dinformations quun simple résultat de conformité (couleur verte ou rouge). Elle invite le Gouvernement à sassurer de la mise en œuvre des mesures opérationnelles et à fournir, aux personnes gérant les lieux, événements et établissements toute documentation nécessaire (communication sur les lieux, établissements ou évènements soumis au dispositif, mise en place dune signalétique visible sur place, etc.) permettant de se prémunir de ce risque.
Hélas, aucune "mesure opérationnelle" significative n'a été mise en place par le gouvernement. Il aurait, par exemple, été possible d'émettre plusieurs pass, contenant plus ou moins d'information, en fonction du type de lieu (e.g. salles de spectacle ou aéroports). Cela aurait été, de surcroit, conforme au principe de minimisation des données en regard de la finalité, comme indiqué par la CNIL ou par le Règlement Général de la Protection des Données (RGPD).
Nous affirmons donc, que la mise en oeuvre du pass sanitaire, en l'état, constitue un risque significatif pour la vie privée, pour les données personnelles (risque de vol d'identité accru) et pour les données médicales des citoyens.
Nous affirmons qu'il contient des informations sensibles sans aucun rapport avec la finalité énoncée.
Nous affirmons qu'il peut être détourné pour pister les citoyens.
Nous demandons le retrait du pass sanitaire dans sa forme actuelle.
Nous invitons les citoyens français à rejoindre cet appel et à déposer une plainte auprès de la CNIL et du défenseur des droits contre le pass sanitaire dans sa forme actuelle.
Nous invitons les citoyens européens et les responsables politiques à s'opposer au pass sanitaire européen qui est peu ou prou calqué sur le pass sanitaire français, avec les mêmes informations, les mêmes dérives et les mêmes risques. 
Si un nouveau pass sanitaire français est créé, nous exigeons le retrait des informations qui sont sans rapport avec la finalité. Si certaines informations sensibles doivent figurer dans le pass sanitaire, plusieurs pass doivent être remis en fonction du besoin d'en connaitre des employés de sécurité filtrant l'accès à un lieu.
Finalement, nous exigeons que la vérification de l'authencité du pass sanitaire s'effectue localement par une application de vérification en source ouverte, sans avoir besoin de la permission d'accès au réseau. 
M. Cédric O s'indigne, dans son interview au Parisien :
> Il y a une forme daberration dans la crispation sur ces sujets-là. Comme si nous avions si peur de la solidité de notre démocratie et de notre état de droit, quon ne puisse pas se doter de ces outils.
Nous affirmons que la confiance ne s'exige pas, mais qu'elle s'acquiert. Nous affirmons que son acquisition passe par la vérité, la transparence, et des actes en accord avec les paroles et les engagements. Sur ce point, le pass sanitaire est un échec.
De surcroit, les risques de détournement ou de mésusage évoquées dans ce document devraient au minimum avoir été considérés avec circonspection par les responsables politiques. S'ils l'avaient été, le pass sanitaire dans sa forme actuelle aurait été rejeté selon le principe de prudence, au nom de la protection des citoyens.
----
Autres documents :
* un [excellent article](https://cq94.medium.com/la-fin-du-pseudonymat-dans-tousanticovid-932d50de11ee) de Christian Quest, sur ce même sujet, qui confirme nos observations ;
* un [fil de tweets de Mathis Hammel](https://twitter.com/MathisHammel/status/1397902091067265026), qui faisait une analyse similaire à la nôtre, au même moment où nous tournions les rushs de notre vidéo ;
* une [application Android en preuve de concept](https://twitter.com/BLeQuerrec/status/1401290053687644169), qui collecte et extrait les informations de pass sanitaires scannés, a été développée par Bastien Le Querrec ;
* [une version alternative de TousAntiCovid](https://github.com/ofa-/stopcovid-android) maintenue par Olaf, qui contient notamment un lecteur/vérificateur du pass sanitaire au format 2D-DOC, prouvant la faisabilité d'une lecture et d'une vérification en local, sans avoir besoin des serveurs d'IN Groupe ;
* un [fil de tweets de Pixel de Tracking](https://twitter.com/pixeldetracking/status/1401626317053992963), qui indique des trouvailles similaires à celles sur Android : le pass sanitaire est envoyé aux serveurs d'IN Groupe en totalité ;
* [une application web qui vérifie les pass sanitaires de manière autonome](https://github.com/lovasoa/sanipasse) ;
* [l'article de presse de NextInpact](https://www.nextinpact.com/article/46153/pass-sanitaire-poudre-aux-yeux-pseudonymat-donnees-medicales-en-clair)
* [l'article de press de Numerama](https://www.numerama.com/tech/717219-tousanticovid-verif-pourquoi-lapp-verifiant-les-donnees-du-pass-sanitaire-fait-polemique.html)
* [l'article de Developpez](https://www.developpez.com/actu/315816/Application-TousAntiCovid-et-Pass-sanitaire-les-informations-personnelles-et-medicales-sont-disponibles-en-clair-previent-Christian-Quest/)
* [l'article d'igen](https://www.igen.fr/ailleurs/2021/06/le-pass-sanitaire-souleve-des-craintes-en-matiere-de-confidentialite-123027)
* [l'article de 01net](https://www.01net.com/actualites/tousanticovid-verif-le-panier-perce-du-pass-sanitaire-2044056.html)
* [l'article de lemondeinformatique.fr](https://www.lemondeinformatique.fr/actualites/lire-tousanticovid-le-pass-sanitaire-en-quete-de-protection-83204.html)
* [l'article de Mediapart](https://www.mediapart.fr/journal/france/090621/donnees-personnelles-les-controles-du-passe-sanitaire-suscitent-linquietude)
* [l'article de Contrepoints](https://www.contrepoints.org/2021/06/09/399255-donnees-medicales-anonymat-surveillance-un-pass-sanitaire-passoire)
* [l'article de NextInpact sur la réaction du gouvernement le 8 juin, en conférence de presse](https://www.nextinpact.com/article/46147/pass-sanitaire-donnees-en-clair-open-source-on-fait-au-plus-simple)
* [la délibération de la CNIL du 7 juin (PDF)](https://www.cnil.fr/sites/default/files/atoms/files/deliberation_2021-067_du_7_juin_2021_portant_avis_sur_le_projet_de_decret_portant_application_du_ii_de_larticle_1er_de_la_loi_du_31_mai_2021.pdf)
----
Remerciements : Aurélien Hugues, Émilie Gill, Stéphane Bortzmeyer
----
Historique d'édition :
* 5 juin 2021 à 13h55 : ajout des références aux travaux de gilbsgilbs et de Christian Quest
* 5 juin 2021 à 14h35 : ajout du fil de tweets de Mathis Hammel
* 5 juin 2021 à 16h20 : ajout des remerciements
* 6 juin 2021 à 8h45 : ajout de l'application en preuve de concept
* 6 juin 2021 à 11h50 : ajout de la version alternative de TousAntiCovid par Olaf
* 7 juin 2021 à 12h40 : corrections de coquilles, précisions sur les auteurs, rajout d'une réference à NextInpact, reformulation de la contribution d'Olaf
* 7 juin 2021 à 13h30 : ajout du fil de tweets de Pixel de Tracking
* 8 juin 2021 à 8h50 : ajout des articles de Numerama, de Developpez, et du code source de sanipasse
* 8 juin à 19h15 : ajout des articles d'igen, de 01net et de lemondeinformatique.fr
* 9 juin à 13h35 : ajout des articles de Mediapart, de Contrepoints, de Nextinpact, et la délibération de la CNIL du 7 juin ; remerciements à Stéphane Bortzmeyer sans lequel la diffusion de cet article n'aurait pas été celle qu'elle a connue
* 10 juin à 8h25 : ajout du bandeau de mise à jour en tête d'article concernant TousAntiCovid Verif