[INFO] Pass sanitaire et vie privée

Bonjour à tous,

Si vous avez été vacciné contre le COVID-19, il vous a été remis un document papier "Attestation de vaccination Covid-19" contenant deux codes-barres :

1) un code-barres 2D-DOC à présenter lors d'un contrôle,

2) un code-barres à flasher pour l'ajouter dans l'application TousAntiCovid si vous l'utilisez, vous "évitant" ainsi de présenter le code-barres 2D-DOC, en présentant donc le code-barres stocké dans TousAntiCovid.


Si vous n'utilisez pas TousAntiCovid, rien ne vous empêche aussi de prendre une photo du code-barres 2D-DOC et de le conserver dans votre smartphone (en protégeant l'accès à cette photo bien sûr   ), ou mieux, de conserver sur vous l'attestation papier.

Si ce document ne vous a pas été remis, il est possible de l'obtenir en le téléchargeant sur ce site, ou en le demandant à votre médecin ou pharmacien.


Pourquoi ce Post ?
Les codes-barres présents dans l'attestation révèlent plus d'information que nécessaire sur vous, et peuvent donc présenter une atteinte à la protection de votre vie privée. Je vous conseille de lire cet articlequi détaille ce qu'il en est précisément.

Bonsoir à tous,

Faut-il s'inquiéter du monde qui vient avec le pass sanitaire ? Je vous laisse lire cet article, afin de vous faire votre propre opinion.

Par ailleurs, Air France avec « Ready to fly », permet déjà d'intégrer son pass sanitaire dans le billet d'avion, afin de nous "faciliter" les choses ; la SNCF s'apprêterait à faire de même.

Bonsoir à tous,

Adieu le code à barres 2D-DOC de type Datamatrix, bonjour le QR code européen depuis le 01/07/2021.
Il est intégré en haut à droite de votre certificat de vaccination papier ou PDF qui vous sert de "pass sanitaire", comme le permet aussi votre résultat de test RT-PCR, ou votre résultat de test antigénique, ou encore votre certificat de rétablissement après contamination au COVID-19.


Son "léger avantage" (voir plus bas pourquoi j'ai mis des guillemets) est que son contenu est chiffré. Ainsi, si vous scannez ce QR code avec une app de scan intégrée à votre mobile ou une app de scan disponible sur votre magasin d'applications, il s'affichera une suite de caractères hexadécimaux inintelligibles à première vue, ce qui n'était pas le cas du 2D-DOC, car il laissait s'afficher en clair les informations qu'il contenait.

Le chiffrement du contenu du QR code est réalisé à l'aide d'un algorithme et d'une clé secrète officielle connue uniquement des organismes habilités de chaque pays de l'Union européenne, en charge de la vaccination, des tests ou du constat de rétablissement. Il suffit donc d'utiliser la clé publique correspondante (par définition, à la disposition de quiconque) pour déchiffrer le contenu du QR code.

Cela signifie donc que le chiffrement du contenu du QR code ne sert pas à assurer sa confidentialité, mais plutôt à assurer qu'il a été généré par un organisme habilité à le faire, avec la clé secrète officielle. En effet, si la lecture du QR code avec la clé publique n'aboutit pas au déchiffrement des informations qu'il contient, cela signifie qu'il est frauduleux. C'est pour cette raison que j'ai écrit plus haut "léger avantage". On dit dans ce cas que l'organisme a signé numériquement le QR code, afin d'assurer aux contrôleurs du QR code qu'il en est bien l'émetteur.

Quoi qu'il en soit le QR code contient des informations personnelles sur vous et des informations liées à votre statut médical COVID-19.
La question qui se pose est de se demander si l'on peut être sûr que le contrôleur du QR code voit s'afficher uniquement sur son écran de lecture, vos nom, prénom et date de naissance avec comme seule indication qu'il peut accepter ou non de vous laisser passer, sans plus d'informations médicales vous concernant, ou si son application de contrôle, lit et stocke (voire transmet aussi sur un serveur) toutes les informations contenues dans le QR code.

C'est pour cette raison que les contrôleurs du QR code doivent uniquement utiliser l'application officielle "TousAntiCovid Verif" mise à leur disposition par le gouvernement. Cependant, rien ne vous assure qu'ils respectent cette obligation, et c'est donc pour cette raison que je vous en parle dans cette section "Sécurité et vie privée".

Bonjour à tous,

Le contenu du QR code mis en place le 01/07/2021 par l'Union européenne (UE) et contenu dans le pass sanitaire (dont vous disposez sous format papier, de fichier PDF ou téléchargé directement dans le carnet de votre application TousAntiCovid) contient 3 catégories de données :
1- des données relatives à la signature numérique du QR code,
2- des données relatives à votre identité (nom, prénom et date de naissance),
3- des données relatives, selon le cas, à votre vaccination, votre test ou votre rétablissement après avoir contracté le COVID-19. Cette 3ième catégorie de données constitue des données de santé particulièrement sensibles car elles permettent de déduire selon le cas, la présence de comorbidités en fonction de votre âge et de votre date de vaccination (cas d'un certificat de vaccination), si vous avez contracté le COVID-19 (cas d'un certificat de rétablissement), si vous n'êtes pas vacciné (cas d'un certificat de test).

Si vous présentez votre QR code à un contrôleur de pass sanitaire non issu d'une compagnie aérienne, et si celui-ci utilise l'application de contrôle officielle TousAntiCovid Verif, alors lors du scan de votre QR code, il verra s'afficher uniquement les données relatives à votre identité. Si c'est un contrôleur issu d'une compagnie aérienne, alors il verra s'afficher aussi des données relatives, selon le cas, à votre vaccination, votre test ou votre rétablissement après avoir contracté le COVID-19.

Le contrôleur verra aussi s'afficher finalement si le pass sanitaire est valide ou pas, en fonction de paramètres de calcul internes à l'application ; ces paramètres pouvant évoluer suivant la législation en vigueur, l'application devra être mise à jour régulièrement par le contrôleur (ex: validité du pass pour une vaccination complète après 7 jours au lieu de 14 auparavant, mise à jour de clés publiques...).
Pour les contrôleurs de pass sanitaire issus d'une compagnie aérienne, l'affichage des données relatives, selon le cas, à votre vaccination, votre test ou votre rétablissement après avoir contracté le COVID-19, leur permettra de décider "manuellement" de la validité du pass sanitaire en fonction de votre destination et de la législation qui s'y applique.


Si le contrôleur de pass sanitaire utilise une autre application de lecture, il pourra alors accéder à l'intégralité des données issues des scans de QR code, et pourquoi pas se constituer une base de données contenant ces informations ; c'est bien là le problème.


Ce qu'il faut retenir : les informations contenues dans le QR code mis en place par l'UE ne sont pas chiffrées mais signées numériquement avec une clé secrète. La clé publique correspondant à la clé secrète est à la disposition de tout programme de lecture du QR code, afin de retrouver en clair les informations contenues dans le QR code. Si les informations contenues dans le QR code mis en place par l'UE, étaient chiffrées, il aurait fallu alors envoyer le QR code sur un serveur pour qu'il soit déchiffré, en retournant au contrôleur de pass sanitaire les informations en clair. Cela aurait posé un autre problème : celui de ce qu'il serait advenu des QR codes envoyés au serveur pour y être déchiffrés (accusation potentielle de surveillance de masse). Du coup, le choix s'est porté plutôt sur la signature numérique afin que le contrôle puisse se faire localement sur l'équipement du contrôleur. Cela n’empêchant pas malheureusement qu'un contrôleur utilise une autre application de lecture que TousAntiCovid Verif et puisse lire toutes les informations contenues dans le QR code.

Alors n'hésitez pas, lors d'un contrôle de pass sanitaire à demander "poliment"   au contrôleur qu'il vous montre ce qui s'est affiché sur son écran. Ci-dessous les 2 écrans (issus du Play Store pour l'application TousAntiCovid Verif) qui peuvent s'afficher dans le cas d'un contrôleur de pass sanitaire non issu d'une compagnie aérienne :





Ces écrans sont des exemples suite à un scan de code 2D-DOC (code franco-français inclus dans le pass sanitaire avant le QR code de l'UE) ; ce serait la même chose suite à un scan de QR code de l'UE.