Le ministère de la Santé prépare un arrêté pour permettre à d’autres dispositifs que TousAntiCovid Verif de se connecter à ses dispositifs techniques. Comme l'application officielle, ils permettront de contrôler les justificatifs du passe sanitaire. Le dispositif reposera sur une série d'engagements accompagnant un dossier technique.
Depuis la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, le passe sanitaire permet d’attester de sa vaccination, de la réalisation d’un test PCR ou d’un certificat de rétablissement à la suite d’une contamination par le Covid-19.
Depuis quelques semaines, le document est en effet exigé pour l’accès aux activités de loisir, aux restaurants, aux cafés. Il est demandé pour certains accès aux hôpitaux, pour les déplacements de longue distance par transport public, ou encore pour accéder aux grands magasins et centres commerciaux, où doit néanmoins être toujours garanti « l'accès des personnes aux biens et services de première nécessité ».
Un décret est venu préciser le mode opératoire. Ainsi, pour les personnes physiques, les justificatifs peuvent ainsi être présentés sous format papier ou numérique, « enregistré sur l'application mobile TousAntiCovid ou tout autre support numérique au choix de la personne concernée ».
Pour les personnes en charge du contrôle, la lecture de ces pièces peut être réalisée via l’application mobile TousAntiCovid Vérif, mais aussi « de tout autre dispositif de lecture répondant à des conditions fixées par un arrêté des ministres chargés de la santé et du numérique ».
Une charte d'engagements
Cet arrêté appelé par le décret est d’ores et déjà sur la rampe. Il vient d’être notifié à la Commission européenne.
Pour être proposé, l’éditeur du lecteur tiers devra d’abord adresser au directeur général de la Santé un dossier de présentation « permettant de vérifier que le dispositif proposé satisfait aux conditions fixées par la charte annexée au présent arrêté, ainsi que la charte signée. »
Ce dossier détaille « la documentation des traitements et la cartographie des flux de données lors de la vérification », « l’architecture de sécurité et les mécanismes déployés pour répondre aux exigences de la charte en termes de SSI et de protection des données personnelles » et même fournir des pans de code source composant le logiciel intégré aux services IN Groupe (de l’Imprimerie nationale) « et de toute fonction manipulant les données du passe sanitaire ou le résultat de sa vérification »
Pour encadrer ce dispositif, l’exécutif se contente d’une simple charte d’engagement où l’éditeur du système tiers promettra de mettre en place et respecter « des mesures protectrices des droits des usagers », comme les droits d’accès ou de rectification chers au RGPD. Il s’engagera au surplus à informer les usagers à « d’une manière simple et accessible ».
Cette charte, annexée à l’arrêté en gestation, prévoit en outre que « les passes sanitaires (2DDOC et DCC) au format QR Code, DataMatrix, ou texte, ainsi que les données qui y sont encodées, constituent des données de santé ne pouvant être stockées sur un système non habilité HDS » (ou hébergeur de données de santé).
Volet sécurité
Toujours dans le flot des engagements, les éditeurs devront assurer la sécurisation de ces données, par recours à des algorithmes de chiffrement « robustes et à l’état de l’art ». La question de la sécurité est un peu plus détaillée dans un chapitre dédié :
Transferts de données interdits, en principe
Il faudra également « justifier de l’absence de transfert illicite de données », « ne pas conserver les données des passes sanitaires, ne pas les transmettre à des tiers ou les modifier ».
Interdit par ailleurs de transférer des données du passe sanitaire ou le résultat de son traitement en dehors de l’Union européenne. Ce principe souffre cependant d’une exception puisqu’à défaut, les éditeurs devront « justifier ces transferts et expliquer l’encadrement juridique et technique qui en garantit la licéité ».
Ces lecteurs concurrents devront être restreints au strict minimum pour opérer le contrôle (affichage des seuls nom, prénom, date de naissance, résultat de la vérification).
S’agissant des personnes chargées du contrôle, conformément à la loi sur la gestion de la crise sanitaire, elles devront être « identifiées, habilitées, et référencées dans un registre spécifique qui doit pouvoir être mis à disposition des autorités en cas de contrôle ».
Enfin, les systèmes de vérification tiers ne devront conserver que temporairement le résultat d’un traitement d’un passe sanitaire, « pour la durée d’un seul et même contrôle d’un déplacement ou d’un accès à un lieu, établissement ou service visés par l’obligation de présentation du passe sanitaire ».
Que se passera-t-il « en cas de constat de non-conformité d’un dispositif dont la connexion a été autorisée » ? Le futur arrêté prévoit que l’accès aux dispositifs techniques développés par le ministère permettant le contrôle des justificatifs sera suspendu sans délai. L'éditeur en sera averti afin de corriger le tir.
Commentaires (87)
#1
Et comment la personne vérifiée peut identifier un lecteur homologué d’un lecteur non homologué ?
A titre personnel, contrôlé à l’entrée d’un centre commercial où je me rendait pour faire réparer mes lunettes, c’est assez compliqué de s’assurer que le vigile utilise bien la bonne application quand il y a 10 personnes derrière toi qui veulent entrer aussi et que tu as attendu toi même quelques minutes.
Comble de l’ironie, il y avait dans le centre commercial un vaccinodrome
#2
Je trouve que c est un trou dans la raquette que ce soit une appli tournant sur n importe quel smartphone.
Il faudrait que ce soit des appareils dedié et agréé. Il est bien trop facile de voler un pass sanitaire lors d un contrôle avec des conséquences importantes pour son possesseur légitime.
Encore une idée pensé à moitié sur le plan de la sécurité
#3
Ces lecteurs concurrents devront être restreints
au strict minimum pour opérer le contrôle (affichage des
seuls nom, prénom, date de naissance, résultat de la vérification)
on verra : si ça calmera ‘les……du Saturday.night.fiver’ ?
#3.1
ça aussi…
TousAntiCovid, qui permet seulement d’importer son certificat sanitaire
dans son application, et n’affiche pas la totalité des informations contenues dans le certificat.
https://linuxfr.org/news/sanipasse-le-deconfinement-libre
#3.2
Juste le résultat du contrôle (ok/pas ok) est suffisant vu que les responsables des lieux n’ont pas à vérifier l’identité des personnes.
#4
Quel est l’intérêt d’autoriser des applications tierces à accéder aux données ????
Cela représente un risque sur l’accès aux données mais aussi sur leur stockage et conservation.
De plus ces applications devraient être homologuées par l’ANSSI pour avoir une certification. Cela rendrait le coût du développement moins attrayant à nos données.
L’appli TousAntiCovid Vérif est téléchargeable par tous gratuitement. Donc stop aux autorisations d’accès aux données. S’il y a des éditeurs qui veulent développer des applications pour effecteur des contrôles quel sera leur modèle économique ?? Faire payer leur application ou bien ils auront moyen de faire du business avec les données ?? Parce que quand c’est gratuit ce sont nos données qui financent le service.
#4.1
Et le fait que cette appli soit disponible est un vrai problème. Clonage de l appli et hop on inclu une prise de photo en même temps que la verif et on se fait da petite base de pass
#4.2
Plusieurs industriels sont dans les starting blocks depuis plusieurs semaines pour proposer des solutions de scan à base de lecture laser (un recherche sur twitter rapide permet de les trouver) et il est également prévu me semble-t-il que les compagnies aériennes puissent collecter les QR code en avance pour gagner du temps sur le contrôle (à vérifier).
#5
Parfois ça peut aussi être des personnes qui veulent un logiciel libre
#6
pas compris.
n’importe quel lecteur de QR code fonctionne, faut juste déchiffrer la suite de caractères affichés (ce qui vient assez vite au bout de deux ou trois cent lectures).
le QR code se suffit, il n’y a pas d’échanges de données client/serveur pour vérifier le passe sanitaire ?
#6.1
A part pour accéder à une liste de passes révoqués, je ne vois pas non plus.
#6.2
De mon expérience, les données contenues dans le QR Code sont chiffrées.
Avec un simple lecteur de QR Code, tu n’obtiens qu’une suite de caractères qui ne veulent rien dire.
TAC Vérif inclut la/les clé/s publique/s pour permettre de déchiffrer les données.
#7
Peu importe l’application elle doit être accessible. C’est impossible de contrôler son téléchargement, le contrôle du PASS doit être demandé partout maintenant.
Si tu veux des QRcode valides tu n’as pas besoin de t’embêter à coder une appli, tu as juste besoin de regarder les réseaux sociaux. Il y en a même qui se le tatoue sur le bras !!! Va leur expliquer qu’ils se sont fait usurper leur code et qu’il a été révoqué
Quel intérêt ? L’argument du logiciel libre n’apportera rien par rapport à la problématique de l’accès aux données et la crainte lié aux contrôles du PASS.
La seule chose qu’il faille espérer c’est une durée de vie très courte de cette application avec la fin du COVID.
#8
C’est n’importe quoi, ils autorisent le traitement des données au lieu d’obliger une vérification locale…
Au lieu d’écrire tous ces paragraphes sur la sécurité, ils auraient pu se contenter de dire “les données ne doivent en aucun cas sortir du dispositif”, et par exemple “le dispositif ne doit pas être connecté à un réseau lors des contrôles”.
#8.1
+1
#9
Et même les sources de l’appli sont disponible ( https://gitlab.inria.fr/tousanticovid-verif/tousanticovid-verif-android ) , même si apparemment “il manque des bouts” , l’appli telle que compilable permet d’avoir une GUI similaire à l’appli officielle.
C’est tout le concept de trimballer des donnés médicales personnelles sur un qrcode & d’obliger tout-un-chacun à le vérifier qui merdoie. La carte vitale, il faut au moins le lecteur, le soft spécifique certifié (même si parfois piraté, OK)
Un certificat vaccinal “normal”, par exemple pour les pays exotique ou l’école c’est un sticker sur une page du carnet de santé, que le vérificateur (instit,…) vérifie négligemment une seule fois. Mais il est vrai qu’un vaccin “normal” n’a pas a être vérifié en permanence, vu qu’il est censé être +/- définitif, et que les rappels sont peu fréquents, contrairement aux “vaccins” covid qui sont pas du tout de cette nature.
#9.1
La carte vitale 1 conçu en 97 a des défauts:
https://fr.m.wikipedia.org/wiki/Carte_Vitale#Anecdotes
Qui sont corrigés, ils me semblent dans la carte vitale 2, mais la CNAM n’a pas mis en place de plan pour remplacer les carte vitale 1 par des 2.
Le truc qui me coche: la CV est +/- une carte bancaire au niveau technique. Une CB est changé tous les 2 ans alors que certaines CV ont été fabriquées en 97 et sont toujours valide.
Les CV ne gèrent toutefois pas directement des données de santé, mais bon.
#10
Elles sont pas chiffrés, elles sont encodés pour “tenir” sur le qrcode, et surtout signées avec la clé privé de l’ARS, ce qui permet d’éviter de créer de faux qr-code. La clé publique (utilisée pour valider la signature) n’est pas secrètre, et est récupérée par l’appli TousAntiCovid Verif au démarrage (ainsi que, possiblement, une liste de QRCode “blacklisté”)
Exemple d’implémentation pour lire ces qrcode : https://sanipasse.fr/ , quelques détails ici : https://linuxfr.org/news/sanipasse-le-deconfinement-libre (lien déjà donné ci-dessus je crois)
#11
La vrai question : quelle est la nécessité de laisser des acteurs tiers développer une telle application ?
#11.1
quand on voit l’excellent travail fait avec vitemadose et covidtracker, j’espère que quelqu’un de bien va nous faire un truc aussi chouette et utile, bien intégré et à jour.
#11.2
Ces sites mettent dans une forme accessible des données que les sites institutionnels n’ont pas été foutus de présenter correctement.
J’ai du mal à comprendre quelle simplification une appli tierce pourrait apporter par rapport à TAC Verif. Par contre les soucis que ça peut apporter, j’en ai quelques uns en tête.
#12
Pas besoin de t’embêter à créer une appli, tousanticovid (pas verif) fait déjà ça (vérif et stockage des pass).…
Le contenu du QRcode est connu, pas la peine de s’embêter à faire de la rétro-ingénierie…
Par contre, une appli de vérification de pass c’est un peu plus compliqué que juste lire le QRcode, car il faut aussi vérifier la validité de la signature du pass (contenu du pass à déchiffrer avec une clé publique).
#13
Non, elles sont d’abord en clair, donc un simple lecteur de QRcode permet d’obtenir les données (mais qui peuvent être falsifiées), puis en chiffrées (la signature) qui permet de vérifier que les données en clair n’ont pas été falsifiées.
Contenu du code QR (Wikipédia)
#13.1
Au temps pour moi. J’ai mélangé chiffrement et encodage. Dans les faits, un simple lecteur de QR Code ne permet pas d’afficher en texte intelligible les informations car il ne décode pas les informations. C’était le sens de ma réponse à
#14
Ou bien en utilisant bêtement l’application officielle mais tout en diffusant en temps réel l’écran sur un terminal enregistreur quelconque.
#15
Je me pose aussi les mêmes questions que certains : pourquoi autoriser le développement d’applications tierces ?
Un éditeur tiers ne développera et ne supportera une application que s’il y trouve un intérêt financier : or, j’aimerais bien connaître le modèle économique associé à ce genre d’usages…
Et même si l’on prend le cas du développeur le plus doué et le plus désintéressé qui soit et qui déciderait de créer cette application tierce :
Si qqn a des éléments de réponses, je suis preneur.
Et par ailleurs, cela multipliera les potentielles failles de sécurité.
#16
Les centres commerciaux et autres : “chouette, on va pouvoir tracer ceux qui viennent chez nous et avoir leur nom”
Ces données n’étant pas transmises à des tiers, cela doit être réalisable…
Sinon, comme les autres j’ai bien peur que ce soit une source pour que certaines personnes récupèrent des QRCode. C’est vrai qu’on en trouve plein dans les réseaux sociaux, mais je n’aimerai pas que le mien soit récupéré et utilisé par un tier à cause de cette idée du gouvernement.
Surtout qu’à l’origine l’application ne devait pas durer très longtemps donc …
#17
… Si les applications de vérification n’ont besoin que de la validité, ne serait-il pas intéressant de fournir 2 QR codes aux gens ?
1 QR “riche” qui serait utilisé dans le cas où on a besoin des informations suplémentaires et un QR “pauvre” qui ne contiendrait que la validité ?
On peut laisser le choix à l’utilisateur de présenter le QR riche ou le pauvre (pour éviter de rendre ça trop complexe pour ceux qui s’en foutent).
Le QR pauvre pourrait même être généré “à la volée” par l’application et avoir une date de péremption (pour limiter les vols)
#17.1
Non, les gens pourraient juste se passer le QR code “pauvre” (même avec des QR code daté) et impossible pour une personne chargée de contrôler de vérifier le vrai du faux, ça serait aussi efficace que de demander “êtes vous vacciner” et les gens auraient juste à répondre oui ou non.
Et comment tu distinguerais les établissement qui ont effectivement besoins de vérifier le “riche” ou le “pauvre”?
Je préfère 1000 fois les données en claire avec des informations limitées a des informations d’identifications basique (nom, prénom, date de naissance) et la nature du passe (vaccin, test négatif ou guérison) et qui est commun a l’union européenne parce que c’est simple à implémenter, et qui a aussi l’avantage de pas avoir besoins d’interroger un tiers pour être validé.
La “charte” qu’ils sortent c’est surtout pour rappeler au entreprises qui auraient envie de développer leur propre système de vérifications que les données contenues dans le QR code du pass sanitaire sont considérées comme des données de santé et ont donc besoins d’un traitement particulier au niveau de la sécurité de transmission et de stockage.
#17.2
Les établissements ont le droit d’exiger une pièce d’identité pour s’assurer que le pass est bon ?
Moi je pars du principe que l’application officielle ne renvoie que la validité, donc les informations complémentaires ne sont pas jugées nécessaires dans l’utilisation globale (bars, centres commerciaux, …).
Le code riche serait plus pour la police (contrôles aléatoire pour éviter le partage/vol de QR) et peut être d’autres agents (aéroports, …).
#18
C’est une blague… Toutes les données du pass sont en clair et pour “patcher” ça, on va pondre des arrêtés, des chartes et autres pour dire qu’on va taper du doigt sur la table au cas où quelqu’un fait un truc qu’il ne fallait pas faire…
Sinon chiffrer les données contenues dans la pass pour n’avoir qu’une appli officielle qui respecte la vie privée ça ne leur a pas effleuré l’esprit ?
#19
Et s’il y a une action en justice, il faudra attendre 2 ans pour avoir le résultat 🤪
#20
Il me semble pourtant que c’est ce qu’a validé le conseil constitutionnel, seules les représentants de l’état ou les employeurs peuvent contrôler l’identité en plus du code.
#20.1
J’ai pas dis que les gens qui contrôlent le passe ont droit de demander une pièce d’identité, je dis qu’avec un QR code qui dis juste “oui” ou “non”, ça sert a rien de demander une vérification. puisque le code serait identique pour tout le monde.
Un bar peut refuser de te vendre de l’alcool si tu ne lui donne pas une preuve que tu est majeur, typiquement une pièce d’identité. Pareil pour les boites de nuit. Pour autant tous les barman/vigiles/videurs ne font pas parti des forces de l’ordre à ce que je sache ?
#20.2
Je ne voulais pas me limiter à un QR qui contient “valide”, on peut par exemple ajouter la clé de sécurité.
Le problème vient de l’idée de la loi qui encadre le pass, il n’était pas prévu que ceux qui vérifient ait accès à une autre information que “valide”.
Si on permet aux “vérificateurs” d’avoir accès aux autres données ça change le cadre.
La loi ne les obligeant pas à contrôler les autres informations il devrait être possible de pouvoir donner uniquement l’information de validité.
Si quelqu’un désire pouvoir vérifier plus d’informations il peut les demander, mais le client pourra aussi aller voir ailleurs.
Le gouvernement peut aussi proposer une nouvelle loi qui impose la carte d’identité en plus de coronapass, mais pour ça il devra repasser devant le parlement et autre.
#21
+1
#22
Si le QR Code est signé avec la clé du gouvernement, quelle différence entre :
“Ce code est Valide”
“Le code de Dominique Dupont date de naissance 11/09/2001 est Valide”
Sachant que la personne qui vérifie le code ne peut pas contrôler l’identité ?
#23
Ah, après vérification, pour la version européenne (QRcode), c’est en effet encodé (base45), par contre pour la version française (2D code), le nom de la personne, sa date de naissance, le nom du vaccin et les dates d’injections sont parfaitement lisibles directement.
#24
La personne peut parfaitement te demander une pièce d’identité, tu es libre de refuser, elle a le droit de dire que dans ce cas là tu ne rentres pas. On n’a pas attendu le passe sanitaire pour ça.
J’ai par ailleurs déjà été contrôlé 2 fois par la police alors que j’étais à l’intérieur de l’établissement. Je peux te dire que ça m’aurait embêté plus qu’autre chose de présenter un code différent à la police et au serveur.
#25
Ben Non
Du coup, passe OK pour l’accès aux lieux et un passe détaillé pour les forces de l’ordre, ça fonctionne.
C’est lobjet de l’échange avec @Paraplegix
#26
Perso je n’y vois qu’un seul intérêt : avoir une appli entièrement open-source, plutôt qu’avoir une confiance aveugle dans une appli officielle qui reste encore fermée. Ce qui pourrait éventuellement lever les doutes et la méfiance de certains vis-à-vis de ces solutions.
Les éléments techniques sont connus et standards, ça n’a rien de bien compliqué pour un individu compétent, encore moins pour un collectif. Surtout qu’afin de rester utilisables sur la durée, les standards utilisés ne peuvent pas varier régulièrement. Donc pas forcément besoin d’un modèle économique associé à ce genre d’appli.
À priori pour sortir une appli fonctionnelle, c’est surtout un travail de « one shot », et les briques sous le capot sont vraiment simples. Maintenant, ça voudrait aussi dire qu’il existe une doc complète, notamment sur la question des clés de signature.
Effectivement, niveau détournements possibles, ça donne le tournis. Mais bon, avec un tracking par QR-code somme « solution », il faut s’attendre à des abus de toute façon …
#27
Ben si. N’importe qui peut te demander une pièce d’identité, même moi. Mais si c’est pas les forces de l’ordre, tu as le droit de refuser.
La loi prévoit par ailleurs tout un tas de cas où on peut te demander de justifier de ton identité pour accéder à un service, sans que ce contrôle soit réalisé par les forces de l’ordre. Par exemple, il faut justifier d’être majeur pour accéder à de nombreux produits (alcool, tabac, jeux…). L’accès à d’autres activités est également réglementé, il ne suffit pas d’être majeur pour jouer au casino par exemple: il y a des listes d’interdiction. D’autres activités du quotidien nécessitent également de justifier de son identité (transports au commun, accès au guichet d’une banque…). Tout ça ne date pas du passe.
Super: 2 passes au lieu d’un, histoire de rendre le tout encore plus pénible.
#27.1
Pourquoi tu viens polémiquer sur un sujet qui n’a rien à voir avec le système de contrôle du passe sanitaire ?
On disait simplement que ça aurait été plus simple pour tous le monde que le QR Code ne délivre que l’information “OK pour accéder” ainsi le développement d’applications tiers n’aurait pas posé de problème.
Quel rapport avec la vente d’alcool ou les casinos ?
#27.2
La facilité a utiliser un pass valide qui ne t’appartient pas. Et quand on te demande le passe complet “ah bah mince je l’ai pas sur moi, il est chez moi j’ai que cette version”.
Parce que sinon, si le seul truc qu’on demande c’est “Le code est valide?” alors je vois même pas pourquoi on se fait chier a faire un système de passe sanitaire vue la faciliter à le contourner.
Au moins avec la version complète, la seul façon d’avoir un passe a son nom sans être vacciner c’est de soudoyer du personnel médical pour qu’ils truquent les base de données, et souvent ils se font prendre, et les certificats sont révoqué.
Ce que dit Cumbalero c’est tout à fait en rapport avec le sujet et en accord avec mes arguments. Il est faux de dire que personne à part la police peut te demander tes justificatifs d’identité. Il est possible qu’une personne chargé du contrôle puisse te demander un justificatif d’identité pour des raison relative au activités du lieux (ton identité pour l’assurance pour un lieux récréatif, salle de cinéma pour les scéance interdit au moins de 18 ans, vente d’alcool, discothèque etc etc…). Dans le cas échéant tu ne rentre pas, c’est tout.
Certes c’est pas à eux de le vérifier, mais en cas de doutes (une jeune femme qui se pointe avec un justificatif au nom de Muhammad Ali né en 1942), je sait pas ce qu’ils sont sensé faire dans ce cas et je préférerais laisser une chance a la personne de prouver sa bonne foie en montrant sa carte d’identité avec les mêmes informations.
#27.3
Pourtant le copier colle de l avis du conseil constitutionnel est clair. Controle d identité uniquement par les forces de l ordre dans le cadre du pass sanitaire
#28
“passe OK pour l’accès aux lieux et un passe détaillé pour les forces de l’ordre”
Non, tu ne parles pas de passe…
Et tout le monde peut présenter n’importe quel QR Code sans aucune vérification? Moi par exemple, je peux présenter le passe de ma fille de 20 ans puisqu’il n’y a ni les nom et prénom, ni la date de naissance qui est affichée ? Quelles informations confidentielles: c’est écrit sur ma boîte aux lettres et ma sonnette…
La vérification de l’identité du porteur du passe et ce que tu dis sur la possibilité pour quelqu’un qui n’est pas membre des forces de l’ordre de te demander tes papiers.
#29
Comme d’hab, charte d’engagement = à du vent…
#30
Pour la même raison que l’on a demandé à tout le monde d’imprimer un papier chiant pour aller faire ses courses en 2020: “Simplement” pour placer une barrière là où il n’y en avait pas avant, pour pousser à un changement de comportement non voulu.
C’est la fameuse technique du “nudge” en psychologie (pas très bien comprise d’ailleurs).
#31
Je vois une utilité à développer une telle appli :
tous les lieux où l’accès est déjà conditionné à la lecture d’un billet avec un code ont intérêt à ce que leur appli sache lire aussi le passe sanitaire.
C’est beaucoup plus simple et rapide que d’avoir 2 applis voire 2 appareils de lecture.
On a les spectacles, les musées, les trains, les parcs d’attractions par exemple.
#31.1
Effectivement, ça peut être utile dans ces cas là.
Merci d’y avoir penser car jusqu’à présent, je ne voyais pas vraiment le besoin.
Comme quoi l’intelligence collective, ça a du bon.
#31.2
Bonne remarque
#31.3
Et pour la partie stockage et traitement des informations de la charte c’est pour les systèmes qui demandent à l’avance un passe valide, et évite d’avoir à scanner 2 billet parce que le passe aura déjà été validé lors de la commande du billet.
Par exemple on peut imaginer que si on achète un billet de train/avion, le billet comprend déjà la mention “achetée avec un passe valide” pour éviter d’avoir à vérifier un truc en plus et faire passer les gens plus vite.
En plus d’avoir une appli capable de scanner les 2, ça permettrait aussi aux clients d’avoir qu’un seul code à scanner ;)
Je reste sur mon avis que c’est pas une si bonne idée que ça, parce que ça simplifierait énormément les “fraudes”. Si on dois en arriver a la mise en place de tout ce bordel pour inciter les gens à se vacciner, c’est pas pour leur donner des moyens de contourner ces mesures facilement !
#31.4
Je suis désolé d’insister, dans le cadre actuel
Donc non ça ne simplifiera pas les fraudes vu que ce contrôle ne peut de toutes façon être fait que par des agents qui eux auront accès au pass complet. (il est quand même précisé que ça peut se faire à l’entrée d’une discothèque car il y a déjà une vérification de l’identité).
Je vais insister une dernière fois (désolé, j’abuse, mais je suis convaincu d’avoir raison sur ce point)
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043909676
Pas de soucis si la loi a changé en 20 jours, mais des informations que j’ai l’identité sur le pass n’est nécessaire que pour les forces de l’ordre. Si je me base sur des informations obsolètes merci de me le signaler.
lien bonus
#31.5
Bien sur que si ça la simplifie. Parce que si il y a trop peu d’information, tout le monde pourrait utiliser le même passe.
Tes texte disent “La vérification de l’identité du porteur du pass sanitaire n’incombe pas aux personnes en charge de mettre en place le pass” et “ne s’accompagne d’une présentation de documents officiels d’identité que lorsque ceux-ci sont exigés par des agents des forces de l’ordre.”
ça ne veut pas dire que l’identité de la personne ne doit pas être sur le passe.
Je vais préciser que contrôler l’identité c’est différent de vérifier que le nom de ton passe et celui qui tu donne est le même que celui que tu donne (que ça soit via une carte d’identité, le nom d’une réservation ou de ton billet peu importe). Dans ce cas la c’est juste s’assurer que le passe que tu présente c’est bien le tien.
Et de ton lien bonus ils disent justement que les contrôleur peuvent faire une comparaison entre l’identité du passe et celui d’un élément nominatif si il doit aussi être “contrôler” (comme un billet) donc bon… Je rappel qu’on a le droit de refuser de donner sa carte d’identité a un contrôleur de train parce qu’ils ont pas “le droit” de te l’exiger, mais si tu fait ça, tu prend le risque de te faire intercepter par la police des transport qui te forceront a descendre et eux par contre pourront exiger que tu prouve ton identité..
On a un système simple qui fonctionne correctement, qui rend la fraude assez compliquer (oui il y a une minorité qui fraudera dans tout les cas), qui est valide dans quasi tout les pays d’Europe justement parce qu’il est hyper simple, et qui en plus fonctionne sans avoir besoins d’internet! Pourquoi es ce qu’on chercherais à le complexifier?
Je vais pas revenir sur ce qu’impliquer d’avoir un QR code “pauvre” et “riche” sur la facilitation de la fraude.
Par contre maintenant faut penser qu’il faudra un système pour pouvoir valider les passe avec 2 QR code dont un serait uniquement lisible par les forces de l’ordre. On fait comment pour avoir un système qui garde les avantages de celui qu’on a actuellement? ça risquerait de rendre système plus complexe, plus vulnérable, et introduirais à nouveau des crainte de surveillance de masse type “oui mais a chaque vérification d’identité il y a un appel qui est fait au serveur de l’etat, c’est du fichage bla bla bla”.
#31.6
Je crois que tu n’as pas lu la partie importante de l’article de loi
Hors là c’est possible (illégal si j’ai bien lu, mais possible).
hum … effectivement.
Du coup un pass qui reprendrait le Nom, le Prénom et la clé de validité ?
Ce qui m’ennuie c’est vraiment les informations qui ne sont pas nécessaires, je pense qu’offrir cette possibilité à ceux qui le désirent ne coute pas cher et permettra de clore un débat.
#32
Si j’ai bien compris c’est ce que prévoit la loi à la base. Je n’ai pas de soucis à ce qu’ils fassent changer la loi pour donner la légitimité de vérifier l’identité en plus du pass, mais pour le moment c’est pas le cas.
Si l’exécutif ne respecte pas les lois c’est assez problématique.
https://www.liberation.fr/checknews/pass-sanitaire-une-piece-didentite-est-elle-exigee-dans-les-lieux-concernes-20210810_QW23XKFV3BCNXDHXJ2JMI77MEQ/
Du coup je pense que l’idée du double pass est bonne.
1 passe riche qui fonctionne dans tous les cas pour ceux que ça ne dérange pas de donner le nom, le prénom, la date de naissance et les informations sur le vaccin/test/immunité (par ce que oui, le pass actuel dispose de ces informations).
1 pass pauvre pour ceux qui le veulent en plus pour éviter de donner ces informations.
Il ne faut pas oublier que présenter que présenter un faux pass est illégal (et mène à des répercussions). Si la personne a “oublié” son pass on peut lui demander de le présenter à un poste de police le lendemain (comme pour d’autre documents administratifs).
#32.1
L’idée de 2 passes dont un qui est inutile est la pire des idées que j’ai lues à ce sujet.
Si donner ton nom au serveur du resto te pose un problème, reste dans ton canapé et commande chez Deliveroo, ils en savent bien plus sur toi!
Drôle de définition de “clé publique”…
#32.2
Moi je m’en fou. Par contre je juge que c’est un argument valable contre le pass.
Suivre les lois c’est important, surtout pour l’exécutif, et j’ai toujours trouvé que les infos sur le pass allaient un peu trop loin (principalement les infos sur le type de vaccin reçu ou sur la date d’immunité).
Si la loi change je m’en fou, mais il faut faire les choses dans les règles
On a vu dans d’autres articles que la défiance vis a vis du gouvernement était une des sources du problème et ce genre de décision n’aide pas.
#33
Les 2 passes peuvent être dans le même QR Code, par exemple :
[Date de validité]
[Date de validité][Nom][Prénom] [etc…]
KP1 = Lisible avec une clé publique accessible à tous
KP2 = Lisible avec une clé publique accessible uniquement aux forces de l’ordre
#34
Quoi donc? De donner ton nom au serveur? Tu ne l’as pas déjà donné pour faire la réservation?
Des infos qui n’apparaissent pas dans TAV Verif, donc mais qui pourraient l’être avec des applis tierces.
Le problème éternel des gens qui confondent tout. Exemple typique: on ne répond pas à la question posée à un réferendum, on dit oui ou non au gouvernement en place. Là, c’est pareil et on savait à l’avance qui seraient les opposants.
#35
Juste pour préciser, pour moi le problème vient bien des applications tierces (c’est le sujet de l’article).
Je n’ai pas de soucis avec le principe de TAV Verif
#36
Toute est une question de proportionnalité.
Quel est le volume de Fraude envisagé sachant que globalement 70% des personnes contrôlées n’ont pas besoin de frauder elles sont vaccinées ou en cours de vaccination, une grande partie des citoyens restants respectent la loi (par crainte du gendarme) reste les irréductibles qui frauderont de toute façon quelle que soit la difficulté à frauder.
En contre partie, on donne l’accès à nos données personnelles à des personnes non habilitées (vigiles recrutés à la rache pour répondre aux besoins, développeurs d’applications peu scrupuleux, …).
Typiquement, si Carrefour développe une application de contrôle dédiée au contrôle d’acccès à ses magasins, il n’aura pas besoin de carte de fidélité pour établir une liste comportementale (qui vient faire les courses, quand, l’age moyen, …)
Toi tu penses que l’enjeu en vaut la chandelle, chacun son point de vue.
#37
Je travaille pour l’un des géants de la grande distribution. On n’a pas besoin de s’embêter à développer une appli qui nous en dira bien moins que ce qu’on sait du comportement en magasin de toute personne qui a dans sa poche un smartphone qui n’est pas en mode avion. On a le parcours précis que tu fais dans la galerie marchande, dans les rayons. Sans carte de fidélité, tes habitudes de consommation, on les connait déjà. Et comme tu paies par CB, on a tout le reste. (on a même la marque et le modèle de ton smartphone…).
C’est comme râler parce que le serveur du resto voit ton nom, alors qu’il l’a déjà avec ton numéro de téléphone: tu les as donnés quand tu as réservé, et tu as du les inscrire sur le cahier de rappel en entrant (c’est la loi) sans appli, et tous les clients du resto pourront les lire. Et quand tu paieras par CB il aura aussi ta domiciliation bancaire…
Au bout d’un moment, c’est parfaitement ridicule.
#37.1
+1
#38
Tout ça par contre m’interpelle. C’est compatible RGPD ? (Je précise, ce n’est pas un troll, c’est une vraie interrogation).
#39
Tout cela est anonymisé, tu es le client #12345678901234. Mais comme pour toute donnée anonymisée, il est relativement aisé de retrouver qui tu es (je ne dis pas que c’est fait).
J’imagine que tout cela est conforme aux règles en vigueur, il y a de nombreux juristes en interne et des appels à des cabinets externes régulièrement et particulièrement dans les projets touchant au décisionnel.
Le nom et prénom du client ne sont pas importants. La tranche d’âge est très facilement déduite des habitudes. Les données de TAC Verif ne sont pas pertinentes, donc.
Ce qui est intéressant c’est de savoir qu’après avoir reconnu le client X, on sait sa fréquence de venue, quelles boutiques il fréquente (à la 3eme on sait si tu es un homme ou une femme), ce qui permet de déterminer un profil. Ensuite, dans l’hypermarché on suit ton chemin dans les rayon et c’est comme ça qu’on sait que le client X qui passe 1h30 toutes les 2 semaines dans le salon de coiffure (c’est une femme, taux d’erreur possible de n%) passe plus de temps dans le rayon shampooing depuis qu’on a déplacé les couches pour bébé de 2 rayons et qu’on a abaissé de 100°K la température de l’éclairage. Elle achète chaque semaine de la litière pour chat mais ne passe jamais au rayon déodorants pour homme. (elle est célibataire, marge d’erreur de z%). Il semble qu’elle ait beaucoup apprécié le Chardonnay en tête de gondole alors que le coffret de l’intégrale de Bridget Jones était mis en avant. => suggestion d’implantation magasin, mettre de la bière en TG quand on aura le dernier DVD de Johnny.
#39.1
Merci pour ces explications. La débauche d’énergie et d’argent pour avoir toutes ces informations en vaut elle la chandelle ? Je dirais que non mais si c’est fait, c’est que la réponse est oui.
Monde (consumériste) de merde tiens …
#39.2
Quelles émissions des smartphones utilisez vous pour ce ‘pistage’ ? WiFi, Bluetooth, … ?
#39.3
Ce que tu décris là c est plutôt de la pseudonimisation si tu es capable de remonter a la personne
Avec L anonymasation la remonté est strictement impossible
Et avec quoi vous tracez ? Parce que moi quand j entre dans un hyper seul ma 4G est allumé je vois pas comment je suis traçable.
#39.4
L’anonymat n’existe tout simplement pas.
Et tu es une exception à n’avoir ni WiFi ni BlueTooth. Par ailleurs, il y a des réseaux WiFi gratuites dans tous les centres commerciaux. L’objectif est double: diffuser des infos commerciales et récupérer des infos, à commencer par l’adresse mac qui permettra de t’identifier quand tu reviendras.
#39.6
Merci pour ces informations intéressantes. Il va falloir que je creuse le sujet.
Donc ces informations remontent par WiFi / Bluetooth, pas par GSM. Au moins je suis pas concerné car pas de WiFi, bluetooth, 4G activé, sauf si besoin. Ton post indiquant que tous les connexions étaient concernées m’inquiétait assez.
edit : et merci eticail pour le lien
#39.7
Pour l’adresse MAC je pense que ce n’est pas conforme au RGPD de la collecter sans informer l’utilisateur
Dispositifs de mesure d’audience et de fréquentation dans des espaces accessibles au public : la CNIL rappelle les règles
En fait, si le système est capable de me reconnaitre entre 2 visites ça m’étonnerait que ce soit conforme au RGPD.
#39.5
Ce que j’ai trouvé : https://www.journaldugeek.com/2017/09/05/comment-les-centres-commerciaux-parviennent-a-tracer-les-smartphones-android-meme-lorsque-le-wifi-est-desactive/#comments
Bien fouiller dans ses paramètres
#40
Les seules infos sont nom, prénom, date de naissance, OK ou pas OK.
#40.1
Infos légalement affichées. Mais pas les infos présentes sur le pass.
Je trouve le pass trop bavard depuis que j’ai appris ce qu’il y avait dessus (quelques mois).
L’ouverture aux applications tiers c’est pour moi le moment où ça devient un vrai problème.
#41
Ce n’est pas suffisant il faut aussi une date de validité dans le cas des test PCR/antigénique. Ce qui donne une information dans tous les cas sur la nature du pass (vaccin/infection vs tests)
#41.1
C’est tout ce qui est affiché par TAC Verif qui devrait rester la seule appli autorisée.
#42
Je voulais implémenter la vérif du pass sur canicompet.com pour gagner du temps le jour des courses. J’ai abandonné, le bénéfice est trop faible par rapport aux contraintes. En espérant que le pass ne fera que passer ;)
#43
Euh tout ce que j’ai dit c’est qu’il faut une information sur la date de validité sinon on ne peut pas valider le pass. Cela n’aurait pas de sens de considérer qu’un test PCR est valide 6 mois comme pour une infection. Les informations d’identification ne son donc pas suffisammentes.
#43.1
Ca tombe bien, l’info est dans le QRCode et utilisée par l’appli.
#44
Pour un billet, je vois deux possibilités :
Donc je ne vois pas de cas qui nécessite de stocker les informations du passe sanitaire autrement qu’en local, juste éventuellement de les transférer (s’il n’est pas possible d’embarquer les informations brutes sur le billet pour faire la vérification en local au moment du contrôle).
#45
Je n’ai pas dit le contraire…. C’était une réponse qui disait qu’il ne fallait que des informations d’identifications dans le pass. Cela n’est pas possible vu qu’il y a plusieurs moyens pour qu’il soit valide avec des durées de validité différentes
#46
perso j’utilise covidcert application de la suisse, qui est pas mal et fourni la vérification interne du certificat avec les date d’expiration.
je gère tous les pass de la famille avec, un régal
https://f-droid.org/fr/packages/ch.admin.bag.covidcertificate.verifier/
doit exister avec playstore j’imagine
#47
On consent quand on accède a ces wifi publics du coup ?
Merci je vais regarder pour que ces abrutis ne me trackent pas .
Ceci dit comme on ne peut pas consentir à ce tracking il me semble contraire au RGPD
#48
Techniquement, ils ne traquent pas une personne mais son téléphone (la mac adress vendor permet d’identifier le fabriquant du terminal).
En revanche s’ils triangulent le téléphone avec le TPE au moment ou tu payes avec ta CB ils peuvent connaitre ton nom, c’est plus gênant, mais je pense que c’est illégal. De même que associer ta CB, ton nom et ton ticket de caisse.
#48.1
Sans quelqu’un de l’intérieur pour dénoncer, qui a accès au process entier, quasi impossible de démontrer les pratiques illégales … sont tranquilles du coup
#49
Ca n’est pas de mon ressors, je laisse les juristes et le DPO de la boîte se débrouiller avec ces aspects.
Comme pour tous les hotspots, tu acceptes les conditions d’accès pour accéder au service.
Pas besoin d’une triangulation…
Par contre, pour ce qui est d’associer ton ticket à ton moyen de paiement, tu te trompes: c’est même une obligation légale.