Pass sanitaire et sécurisation des données

Lancé le 21 juillet 2021, le pass sanitaire est un passeport vaccinal qui permet d’accéder à divers lieux publics, notamment les lieux de divertissement et de culture, certains centres commerciaux, le métro ou encore les lieux de restauration. L’application TousAntiCovid Vérif permet aux gérants de ces lieux de vérifier le pass sanitaire de ses clients. Toutefois, le dispositif amène des questions puisqu’il y va de la sécurisation des données personnelles des bénéficiaires de ce pass sanitaire.

Pass sanitaire, TousAntiCovid et TousAntiCovid Vérif

Sous l’impulsion du Président de la République, le pass sanitaire est en quelque sorte l’invité surprise du processus de déconfinement progressif. En cette période où un certain nombre de Français hésitent encore à se faire vacciner, le pass sanitaire est perçu par ces derniers et autre opposant au pas, comme un moyen de pression du gouvernement. Pour les experts en sécurité cyber, il cache un enjeu encore plus important, la cyberprotection relative aux données personnelles.

Pour rappel, l’application TousAntiCovid Verif  est une application gouvernementale téléchargeable sous Android et iOS pour les personnes habilitées à le faire. L’application scanne le QR Code présenté par les clients sur papier ou directement depuis l’application TousAntiCovid. Des informations comme le nom, la date de naissance et la validité du pass s’affichent alors.

Usurpation et falsification du pass sanitaire

Selon la CNIL (Commission nationale de l’informatique et des libertés), même si théoriquement personne ne peut accéder aux données de santé sans y être habilité, il subsiste une menace. La CNIL conseille fortement les utilisateurs de ne jamais afficher son code QR sur les réseaux sociaux ou dans les endroits où ce n’est pas nécessaire. En effet, nombreux sont ceux qui publient fièrement leurs code QR sur Twitter ou Facebook après leurs vaccins. D’autres individus peuvent être tentés de les récupérer et de s’en servir pour créer de faux certificats de vaccination.

D’ailleurs, la vente de faux pass sanitaires a le vent poupe sur le Darknet et ce depuis le début de l’année. Les certificats de vaccination contrefaites y sont vendus entre 100 et 120 euros. La France, le Royaume-Uni et l’Allemagne sont les plus grands pourvoyeurs d’attestations illégalles. Pour arriver à leurs fins, les pirates récupèrent les QR codes appartenant aux personnes vaccinées ainsi que les informations qu’ils contiennent pour ensuite créer de fausses pièces d’identité.

L’Assurance Maladie est la seule entité habilitée à créer un pass sanitaire. Pour rappel, Produire ou utiliser un faux document expose jusqu’à 3 ans d’emprisonnement et 45 000 € d’amende. Idem pour ceux qui « prêtent » leurs pass sanitaires à des tiers, quels que soient leurs motifs. Les passeports vaccinaux ayant fait l’objet de falsification et/ou d’usurpation seront inutilisables et placés sur une liste noire.

Quid de la cybersécurité ?

Ce qui inquiète les observateurs et les experts en cybersécurité, c’est la possibilité d’une surveillance de masse. Daniel Bancal, expert en la matière tempère en déclarant :

Je pense que ce n’est pas dans l’intérêt de l’État, il y a tellement d’autres outils avec lesquels on pourrait espionner, je pense aux impôts, aux réseaux sociaux par exemple…

En effet, les QR Codes contiennent des données personnelles chiffrées qui sont envoyées au serveur de l’imprimerie nationale IN Groupe. Quand bien même il s’agit de données privées, on ne sait pas grand-chose sur la manière dont elles sont utilisées. Suite aux réactions pour le moins sceptiques des spécialistes, le processus de vérification se fait hors ligne désormais.

Articles récents