La loi sur le passe vaccinal est entrée en application aujourd’hui. Le texte autorise des personnes privées à vérifier les passes mais aussi à en contrôler la concordance avec les pièces d’identité. Le député Philippe Latombe avait déjà regretté ce choix, qui tient à l’usage d’une norme technique. Retour sur le sujet avec Gilles Barré, l’un des spécialistes de ces questions.
La loi sur le passe vaccinal a été publiée dimanche au Journal officiel pour entrer en application aujourd’hui. Le texte vient remplacer le passe dit sanitaire demandé à l’entrée des salles de cinéma, des restaurants ou des cafés. La loi autorise par ailleurs les personnes en charge du contrôle de ce document de faire une vérification d’identité.
Plus exactement, « lorsqu'il existe des raisons sérieuses de penser que le document présenté ne se rattache pas à la personne qui le présente », elles pourront demander au détenteur « de produire un document officiel comportant sa photographie ». Une vérification dite « de concordance ».
La mesure est passée sans encombre devant le Conseil constitutionnel. D’un, « le refus de la personne de produire un tel document ne peut avoir pour autre conséquence que l'impossibilité pour elle d'accéder à ce lieu ». De deux, le législateur a voulu « assurer l'effectivité de l'obligation de détention d'un "passe" » à des fins sanitaires. De trois, les données de concordance ne sont pas enregistrées. Enfin, ces contrôles devront se faire en respectant le principe d'égalité devant la loi, et donc « qu'en se fondant sur des critères excluant toute discrimination de quelque nature que ce soit entre les personnes ».
Durant les débats parlementaires, le député Philippe Latombe avait néanmoins regretté les choix opérés par la France. Celui-ci aurait préféré un TAC ou Tous Anti Covid qui s’appuie sur une autre norme que celle choisie par les autorités françaises. La norme 105 plutôt que la 101, qualifiée de norme « rigide » en ce sens qu’il n’est pas possible d’y ajouter d’autres éléments que ceux prévus initialement, comme la photo. Une mesure qui aurait évité les tergiversations légistiques sur ces vérifications d’identité de personnes privées par des personnes privées.
Nous avons interrogé Gilles Barré, qui fut administrateur de la Fédération des Tiers de Confiance du Numérique, une association loi 1901 présidée par la Chambre Nationale des Commissaires de Justice. il a été cocréateur du groupe de travail sur le Cachet Électronique Visible.
Cette fédération avait fondé l’Association Internationale de Gouvernance du Cachet Electronique Visible, qui elle-même avait travaillé avec l’Agence nationale des titres sécurisés sur le projet de norme « 101 », avant de travailler seule sur la « 105 ».
Quelle est l’histoire de la norme 101 et la 105 et quelle a été votre implication sur ces sujets ?
Le passage à la normalisation des spécifications du « 2D-DOC », forme initiale du Cachet Electronique Visible développée par l’ANTS (Agence Nationale des Titres Sécurisés, sous tutelle du Ministère de l’Intérieur), a été proposé et financé par la FnTC dont j’étais administrateur et cocréateur du Groupe de Travail sur le CEV en 2011. La FnTC intervenait déjà en soutien de l’ANTS qui l’avait sollicitée, en labellisant les solutions de génération et de lecture du CEV « 2D-DOC ».
L’ANTS et l’AIGCEV (Association Internationale de Gouvernance du Cachet Electronique Visible, créée en octobre 2016 à l’initiative de la FnTC pour prendre son relai sur le CEV) ont travaillé de concert, dès le début des travaux en 2016, à l’élaboration de la norme AFNOR XP Z42-101 dite « 101 » qui a été publiée début 2019.
Publiée en 2020, la norme XP Z42-105 dite « 105 » a été financée et élaborée à l’initiative de l’AIGCEV et une importante contribution de ses experts, en l’absence de l’ANTS qui manquait temporairement d’experts à cette période. Pour autant, l’ANTS et le Ministère de l’Intérieur ont continué de soutenir et de se tenir informés de nos travaux de normalisation en participant de manière très régulière et attentive à nos Conseil d’Administration depuis fin 2016.
Quels sont les points communs, mais surtout les différences techniques entre l’une et l’autre ?
Dans ces deux Normes, le Cachet Electronique Visible (CEV, qui est une déclinaison de la signature électronique) garantit l’origine et les données clés d’un document, quel que soit le support, électronique ou papier. Il permet de vérifier à la fois l’intégrité des données (y a-t-il eu ou non falsification des données ?) et si le signataire est un signataire légitime (le certificat de signature utilisé, délivré par une autorité de certification labellisée, est-il celui d’un signataire autorisé ?).
Il s’agit donc de deux normes d’encodage qui remplissent toutes les deux les fonctions que je viens de citer, mais selon des modalités techniques d’encodage distinctes.
Dans les deux cas, les données sont « encapsulées » dans un code 2D qui facilite leur acquisition par un lecteur ad hoc. Ces deux normes ne concernent que le contenu du CEV, elles laissent libre le choix du code 2D à utiliser, les CEV pouvant être représentés indifféremment par un Datamatrix, un QR Code ou tout autre code propriétaire ou non.
Alors qu’en est-il des différences ?
Il y a quatre différences majeures.
Première différence, dans la norme « 101 » contrairement à la norme « 105 », les données encapsulées sont nativement en clair, donc lisibles et décodables avec n’importe quel lecteur de code 2D (qui ne permet pas de savoir s’il s’agit d’un CEV authentique, puisque seule une application de lecture spécifique peut décoder et interpréter la signature électronique garante de l’authenticité et de l’intégrité).
Cela s’explique, puisqu’à l’origine le CEV siglé « 2D-DOC » (la marque déposée de l’ANTS/Ministère de l’Intérieur) a été créé pour assurer la protection des données du « bloc adresse » des justificatifs de domicile présentés à l’occasion des demandes de Passeport. Nul n’était besoin alors de masquer les données du CEV puisqu’elles figuraient déjà en clair sur le justificatif de domicile sécurisé par le CEV. Nul besoin non plus de masquer les données quand le CEV se limite à la sécurisation d’un document, ce qui a été jusqu’ici son cas d’usage le plus fréquent, donc pas de problème de respect du RGPD dans ces cas d’usage.
En revanche le RGPD n’a plus été respecté, quand la norme « 101 » a été utilisée pour sécuriser le Passe sanitaire français (avant l’utilisation du CEV « QR Code » européen) puisque contrairement au règlement, alors même qu’il s’agit de données sensibles de santé, les données personnelles étaient lisibles en clair avec un quelconque lecteur de code 2D. Next INpact avait alors bien identifié cette faille.
En norme « 105 », nativement, les données encapsulées n’apparaissent pas en clair lors de la lecture par un simple lecteur de code2D. De plus, il est possible avec le mécanisme de manifeste dont je vous parlerai plus avant, de limiter le nombre de données au strict nécessaire pour l’application de lecture (article 5.1 du RGPD sur la minimisation des données), fonction impossible à réaliser avec la norme « 101 ». Ce qui veut dire que, quel que soit le cas d’usage, la norme « 105 » est compatible avec le RGPD.
Deuxième différence, la norme « 101 » utilise un dictionnaire de données qui doit être complété de nouvelles données nécessaires pour les nouveaux cas d’usage. De plus à ce jour, le dictionnaire n’est qu’en langue française. Le multilinguisme nécessiterait de créer un dictionnaire pour chaque langue utilisée. Au contraire, la norme « 105 » qui n’utilise pas de dictionnaire de données, permet nativement le multilinguisme en toute simplicité. Avec la norme « 105 », ceux qui définissent un nouveau CEV sont totalement libres de définir et d’utiliser les données qui correspondent à leurs besoins en toutes langues. Cette norme « 105 » répondait donc totalement aux besoins du Passe sanitaire européen, mais n’a pas été proposée par les autorités françaises.
Troisième différence, les applications de lecture de CEV « 101 » doivent systématiquement être mises à jour (avec intervention sur chacune des applications de lecture) à l’apparition de chaque nouveau CEV, ce qui rend le process extrêmement lourd, coûteux et susceptible d’engendrer des décalages temporels importants lors de la mise à jour des différentes applications de lecture du marché. Cela était acceptable lors de la création et la diffusion des premiers CEV et pour quelques nouveaux CEV par an, mais devient peu compatible avec une large diffusion. Contrairement à la norme « 101 », la norme « 105 » permet la mise à jour des applications de lectures instantanément, quels que soient les cas d’usage et quelles que soient les langues utilisées. Ceci est rendu possible grâce à l’utilisation d’un « manifeste » indépendant et téléchargeable dans l’application de lecture, qui contient un « descripteur » de CEV. Ce descripteur se présente techniquement comme un fichier au standard XML ; pour des raisons de sécurité, ce fichier est signé électroniquement par l’entité de gouvernance de l’environnement de confiance. Cette signature électronique garantit son authenticité.
Et la quatrième différence ?
Quatrième différence, outre un descripteur, le manifeste contient une vue de présentation, qui permet de personnaliser la présentation des données lues. Chaque vue de présentation pourra être spécifique au cas d’usage, en reprenant des logos ou des éléments graphiques du document protégé par le CEV, mais aussi être multilingue.
Ceux qui définissent un nouveau cas d’usage de CEV, choisissent les langues qui pourront s’afficher dans la vue de présentation. Par exemple le flamand et le français pour un usage domestique en Belgique, ou encore les 24 langues européennes pour un CEV intracommunautaire comme cela aurait pu être le cas pour le « QR code » du Passe sanitaire européen.
L’AIGCEV - Réseau OTENTIK a développé une application universelle de lecture de CEV encodés selon la norme « 105 ». Cette application gratuite est téléchargeable sur Playstore et sur l’Appstore. Quand vous l’utilisez, dès lors que le lecteur reconnait qu’il s’agit d’un CEV « 105 », fut-il créé la veille, il est à même de le décoder, même s’il n’a jamais décodé ce CEV spécifique à ce cas d’usage, ceci en téléchargeant le manifeste. La mise à jour du lecteur est alors automatiquement effectuée pour ce cas d’usage.
Quand le lecteur rencontrera à nouveau ce cas d’usage il pourra le décoder hors connexion (offline), car le manifeste, tout comme la clé publique du certificat de signature seront maintenus dans l’applicatif. C’est pour cela que l’on parle d’applicatif « universel », car avec la technique du manifeste, l’application de lecture est capable de lire tout CEV encodé en norme « 105 ».
Application universelle, aussi parce qu’elle implémentera, prochainement, de base plus d’une quarantaine de langues dont l’ensemble des 24 langues européennes. Ce qui veut dire par exemple si besoin, qu’un Allemand ou un Roumain pourra lire dans sa langue un CEV émis en italien ou en finlandais, comme cela aurait pu être le cas pour le Passe sanitaire européen
Le député Philippe Latombe a vanté les mérites de la « 105 », s’agissant de la photographie du titulaire. Comment se passe « l’intégration » d’une telle photo dans un QR Code ?
La photo est une donnée binaire, tout comme la signature électronique et peut donc être encapsulée dans le CEV. La problématique étant la taille de cette donnée qui est fonction de l’algorithme de compression utilisé et de la capacité du code 2D utilisé. A dimensions égales, le Datamatrix permet d’encapsuler plus de données qu’un QR-Code, mais certains encodages propriétaires sont encore beaucoup plus performants, tel le SealCrypt qui a été retenu (et diffusé depuis octobre 2021) pour le Passport Card irlandais et qui contient les données, y compris la photo du titre d’identité.
Plusieurs amendements ont souhaité intégrer la photo dans le passe-vaccinal. Selon Philippe Bas, « le serveur informatique n'est pas dimensionné pour intégrer des photos qui sont lourdes ». Que répondez-vous ?
Que monsieur le sénateur Philippe Bas n’a probablement pas été correctement informé du sous-jacent technique demandé par cette fonctionnalité. En effet, pour des raisons de respect du RGPD et des avis de la CNIL, les photos ne doivent pas rester dans des serveurs où elles occuperaient effectivement une place énorme et ne seraient d’aucune utilité.
Cette photo doit être présente sur les serveurs seulement le temps de traitement pour être encapsulée dans le CEV, puis détruite ensuite car devenue inutile. L’utilisateur téléchargera le CEV qui contient sa photo, et gardé dans un applicatif dont il a le contrôle à l’instar de TousAntiCovid Carnet. Le dimensionnement des serveurs n’a alors plus d’influence sur le process. C’est ce qui était préconisé dans la solution que l’AIGCEV avait proposée au gouvernement dès juillet 2021, et expliquée très simplement dans une vidéo dans le but de favoriser l’acceptation du Passe sanitaire par tous les citoyens.
Toujours selon le député Latombe, « l’administration a raté le coche et "emmerde" les Français ». Pourquoi, selon vous, la France a-t-elle fait le choix de la norme 101 ?
Ce n’est certainement pas par manque de diffusion de l’information de notre part. Comme nous n’avons jamais eu de réponse à nos différents courriers et messages d’alerte, ni même un accusé de réception, nous ne savons pas répondre à cette question.
Commentaires (13)
#1
« le refus de la personne de produire un tel document ne peut avoir
pour autre conséquence que l’impossibilité pour elle d’accéder à ce lieu » (pas d’amende, donc)
les données de concordance ne sont pas enregistrées…
le “CC.” ne pouvait rien dire !
(ils avaient prévu le coup, AV.)
#2
:set troll
Ils pourraient le faire avec la carte bancaire, comme la primaire pop! Bon, tant pis pour ceux qui n’on pas de carte, mais sinon, c’est très démocratique!
:set troll!
#3
Y a un truc que je capte pas trop et c’est en partie lié a l’article
La France était partie sur un 2D-Doc (franco-français) pour le passe sanitaire français, avant de passer vers un QR-Code pour une comptabilité avec les autres pays d’europe.
Ici ils sortent un passe vaccinal, et ils repartiraient sur un 2D-Doc ? ou c’est juste pas encore défini ?
#3.1
C’est indiqué dans l’article tout format de code barre est compatible (QR Code ou Datamatrix) Ces normes 101 ou 105 concernent le contenu du code barre pas la norme de code barre en elle-même.
Vous avez vu la taille du code barre sur le passeport Irlandais ? C’est minuscule, quand on voit le mal qu’ont certains serveurs avec leur vieux smartphones cassés, il est improbable qu’on ait un jour des codes bars si dense. (Sans compter que le passeport est un doc papier bien plus simple à scanner qu’un écran de smartphone !) Bref c’est bien ce qui me semblait sur l’autre article le stockage de la photo est irréaliste.
Donc si je comprends cette norme, on stocke les données compressées, et l’appli se charge de télécharger le manifest contenant la structure du code barre, et les clés de déchiffrement contrôle.
Regardez ces superbes photoshopages : https://www.sandiainternational.com/news/sandia-international-launches-more-secure-private-vaccine-pass-technology
#4
On a plus d’informations sur ces “raisons sérieuses de penser que le document présenté ne se rattache pas à la personne qui le présente” qui excluent “toute discrimination de quelque nature que ce soit entre les personnes” ? Ou c’est toujours aussi vague ?
#5
Perso je préfère montrer la carte d’identité qui est alors vérifiée par une personne, plutôt que d’avoir la photo dans un QR code (ou eq) qui est ensuite scannée avec une app dont on ne contrôle ni la provenance ni ce qu’elle fait des données scannées. Le minimalisme, ça a du bon.
Et quand le restaurateur jette un œil sur ma carte, il ne fait que comparer rapidement nom et photo, il ne note pas les infos de la carte comme le numéro ou l’adresse. C’est pas une machine donc ça me dérange pas.
#6
Merci pour ces explications qui manquaient cruellement lors des critiques du député LATOMBE.
#7
Le 105 (tel que présenté) utiile un algo de compression non libre ! C est donc dépendre d’une société privée …
Et il est est complexe a mettre en place .
Et (conjecture) si il n utilise pas pas trop de stockage, est ce vrai du cpu et de la mémoire ? Car ici on parle de million de passe …c est quoi le coup d’une tel infra ? …
Et la photo est bien sur le serveur a un moment donné, vous croyez qu’elle ne donnera pas des envies a certain de détourner son usage …
#8
Donc si on résume, le 105:
Comment dire… félicitations, vous venez de réinventer un subset du web, les types mime et les applicatifs signés, avec une appli de lecture qui est un mini-browser ? ^^”
#8.1
Ca m’a aussi fait penser à ça, la différence ici c’est que tu peux étendre ça à n’importe quel canal de communication : papier et pas forcément numérique.
#9
« En norme « 105 », nativement, les données encapsulées n’apparaissent pas en clair lors de la lecture par un simple lecteur de code2D. »
J’ai du mal à saisir. On parle de chiffrement ou simplement d’un autre encodage ? Les données en norme « 101 » qui « sont nativement en clair » sont en fait encodée… Si la norme 105 ne prévoie pas de chiffrement, et se base juste sur un autre encodage, il n’y a pas vraiment de raison de différencier les deux sur le caractère « en clair »…
Et si il y a chiffrement, cela sous-entend déchiffrement donc pour une application du type pass sanitaire, déchiffrement central sur un serveur ou alors diffusion de la clef de déchiffrement à l’ensemble des personnes devant vérifier les pass…
#10
Pour moi c’est bien ça, je ne vois pas le problème en fait ?
SI j’ai bien compris, la norme prévoit entre-autres que tu puisse déchiffrer une partie des données mais pas l’autre : l’application pourrait déchiffrer le certificat (statut du passe et authenticité), sans déchiffrer les informations médicales, protégées par un autre algorithme ou une autre clé.
#11
La validation du statut du passe est effectuée côtée client, dans l’application de vérification, ce qui permet notamment de ne pas avoir à re-générer des qrcodes dès que les règles changent (ce qui arrive très très régulièrement…). Ainsi, en l’état, il est nécessaire d’y faire figurer des informations sur la date de vaccination, par exemple, pour pouvoir faire cette vérification.
Si ces informations étaient chiffrées, et la clef de chiffrement connue de tout le monde (on parle bien d’une vérification possible par le tout venant, restaurateurs, agents sncf, […]), alors il n’y a aucun gain en terme de protection de la vie privée, puisque tout le monde peut déchiffrer.