Pass sanitaire, données en clair, open source : « On fait au plus simple »
Vivement le prochain « sprint »
Le 08 juin 2021 à 16h36
9 min
Logiciel
Logiciel
Avant l’entrée en vigueur du pass sanitaire demain, Cédric O tenait une conférence de presse pour donner les derniers détails. L’occasion pour nous de demander des explications sur la présence de données en clair, l’utilisation d’un serveur de vérification et de composants Firebase (Google).
Le secrétaire d'État chargé de la Transition numérique et des Communications électroniques rappelle que c’est une nouvelle étape du plan de déconfinement, qui permettra de « rouvrir des lieux avec de jauges, qui sinon seraient restés fermés ». « Nous espérons que cette fois-ci ce soit pour de bon… », ajoute-t-il.
Le pass sanitaire prend pour rappel la forme d’un 2D-DOC que l’on peut importer dans son application TousAntiCovid et/ou garder sur une feuille de papier. Cédric O affirmait que « la CNIL a transmis son avis, qui va être rendu public dans les heures qui viennent ». Il est désormais disponible ici.
La CNIL valide ? Pas si vite
Pour le secrétaire d’État, la gardienne des libertés validerait « le dispositif du pass sanitaire […] à la fois de TousAntiCovid Carnet, mais également l’architecture de fonctionnement de TousAntiCovid Verif ». En pratique, elle émet tout de même quelques réserves et fait des rappels. Notamment qu'une « attention particulière devra être portée aux usages du passe sanitaire, susceptibles de révéler des informations sensibles, et notamment à la nécessité de sanctionner toute utilisation frauduleuse ». Sans que l'on sache exactement qui en aura la charge.
Mais aussi « qu’il est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé. Elle a invité le Gouvernement à mettre en place des mesures d’informations afin de sensibiliser le public sur la nécessité de protéger leurs justificatifs et de ne pas les exposer en dehors des contrôles prévus par le passe sanitaire (ne pas présenter les justificatifs dans des lieux qui ne sont pas concernés par le passe sanitaire, ne pas les publier sur les réseaux sociaux etc.) ».
Elle critique également la non publication du code source de TousAntiCovidVerif, « regrette que le Gouvernement ne lui ait transmis ni de dossier technique ni d’AIPD et rappelle au Gouvernement que cette analyse devra être finalisée avant la mise en œuvre effective du dispositif », prend acte de la transmission de données à un serveur central mais « rappelle qu’à l’issue de la vérification, aucune donnée ne devra être conservée » et invite à un travail pour la mise en place d'une version « d'avantage décentralisée [...] afin de limiter les envois de données à ce serveur tout en garantissant l’application des règles mises à jour ».
« En particulier, la Commission estime que le contrôle de la validité des justificatifs pourrait être réalisé en local pour les opérations de contrôle du passe sanitaire relatif aux grands rassemblements de personnes. En effet, dans cette hypothèse les règles de gestion sont simples et maitrisées par le Gouvernement » ajoute-t-elle.
Sur les données en clair dans les différents Code QR/2D-DOC, elle précise que « si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information dès 9 personnes, afin qu’elles soient conscientes de la sensibilité des données stockées dans ces codes, sous forme papier ou numérique, et qu’ils prennent soin de ne les exposer qu’aux personnes spécialement habilitées à les contrôler. »
Une version centralisée qui doit être revue
Antoine Darodes, directeur de cabinet de Cédric O, est en effet intervenu lors de la conférence, expliquant le fonctionnement de TousAntiCovid Verif : les données récupérées via le QR-Code remontent à un serveur central qui effectue le calcul pour connaître le statut à afficher. Il renvoie ensuite le résultat à l’application qui affiche du vert ou du rouge. Il confirme sans détour : « il y a bien un envoi de donnée vers le serveur central ».
Néanmoins, « les données ne sont pas stockées », affirme-t-il. Il ajoute que le système est « conforme au RGPD » et qu’il a été « validé par la CNIL », bien que cette dernière « invite à [le] modifier ». « Nous travaillons à ce que toutes les règles soient opérées localement pour éviter une remontée des données qui nécessite une connexion Internet et un envoi de données de santé », explique le Antoine Darodes.
Le changement devrait être rapide et intervenir dans « les tout prochains jours » : « on devrait avoir une mise à jour pour avoir un calcul totalement local, ce qui ne nécessitera plus de connexion Internet ».
Il s’agit pour rappel de la promesse initiale.
Quid des faux QR-Code ?
Interrogé sur les falsifications de QR-Code, Cédric O explique que « les équipes d’Air France sont confrontées à plusieurs tentatives de fraude par semaine », mais sans donner plus de précision.
Pour valider un 2D-DOC, il faut pour rappel utiliser l’application TousAntiCovid, qui renvoie le nom, prénom et un feu vert ou rouge, sans préciser les raisons dans les deux cas. Achille Lerpinière de la Direction Générale de la Santé (DGS) rappelle que les émissions de QR code ne peuvent se faire que depuis des services officiels, qui ne sont que deux à disposer des clés permettant de signer et donc authentifier les QR-Code.
Il précise que parmi les motifs d’un feu rouge, il y a justement « signature non reconnue ». « Vous pouvez faire des faux QR-Code, mais ils flasheront toujours rouges sur TousAntiCovid Verif ».
Open source, Firebase (Google) : c’est pour aller plus vite…
Comme évoqué précédemment, TousAntiCovid Verif n’est pas open source, contrairement à TousAntiCovid. Le directeur de cabinet à une explication : « il y a un certain nombre d’éléments de sécurité qui ne doivent pas être libérés […] Nous allons regarder comment on publie le code en enlevant/occultant les parties qui risqueraient de mettre en danger l’application »… en espérant que cela ne soit pas trop long.
Il lâche ensuite une phrase résumant finalement assez bien la situation : « On fait au plus simple, plus vite, et on va vers un système le plus protecteur », mais dans un second temps (et une fois que l’affaire a été rendue publique).
Achille Lerpiniere confirme cet empressement en revenant sur l’utilisation de Firebase (Google) : il s’agit de « composants qui avaient été utilisés pour les expérimentations, mais débranchés dans les mises à jour des applications ce jour ». Il s'agit de la version 1.3, dans laquelle ces outils ont en effet été retirés.
Des données en clair pour… l’interopérabilité
Nous avons ensuite demandé pourquoi les données personnelles et médicales n’étaient pas chiffrées sur le 2D-DOC et donc accessibles à n’importe qui avec un simple lecteur de QR-Code. Réponse : « pour rendre possible l’interopérabilité et faire en sorte que tous les États membres puissent lire ».
Le but étant de « ne pas crypter nos données pour ne pas devoir partager des clés » avec les autres pays… et donc ne pas se compliquer la vie. L’Europe aurait d’ailleurs « collégialement choisi un certain format de certificat européen » avec la « compression uniquement des champs », qui sont donc en clair.
Concernant les risques que cela entraine sur les données personnelles et médicales, il a été dit pendant la conférence de presse « que vous perdiez votre bout de papier ou votre téléphone c’est exactement la même chose […] Ça ne rajoute aucun risque supplémentaire, car ces champs sont écrits noir sur blanc sur le papier ».
Une « astuce » pour le format papier
Lors des contrôles, il n’est pas obligatoire de présenter la feuille en entier (qui contient pour rappel des données sensibles), mais uniquement le QR-Code… avec une astuce donnée par Achille Lerpiniere : « La version actuelle pliée en 2 cache les informations de santé ». La CNIL l'évoque dans son avis, proposant « par exemple, [d'indiquer] les consignes de pliage de manière visible sur le justificatif ou en fournissant un second document qui ne contiendrait que les données nécessaires au contrôle, par l’intégration d’une information claire sur le document, etc ».
« La version DCC à venir le 22 au soir se pliera en 4 pour n'afficher que le QR-code et nom, prénom date de naissance, tout le reste sera caché dans le pliage », ajoute-t-il . En effet, à partir du 23 juin le « pass européen » (ou green) sera pris en charge. Le 2D-DOC sera utilisé du 9 au 23 juin, tandis que le « 22 au soir tout va basculer vers le DCC [Digital Covid Certificate, ndlr] européen ».
Dans tous les cas, les 2D-DOC et DCC « seront valables en France et lisibles dans TousAntiCovid Verif », y compris après le 22 juin pour 2D-DOC. En dehors de France par contre, « il faudra le DCC ». En plus de l’Europe, des discussions sont en cours avec le Maghreb et les États-Unis.
Afin de profiter du système européen DCC, « il sera possible de récupérer une nouvelle preuve au nouveau format sur sidep.gouv.fr et attestation-vaccin.ameli.fr, ou de demander à un professionnel de santé de le faire, ou d'utiliser un convertisseur de preuve intégré dans TousAntiCovid ».
Pass sanitaire, données en clair, open source : « On fait au plus simple »
-
La CNIL valide ? Pas si vite
-
Une version centralisée qui doit être revue
-
Quid des faux QR-Code ?
-
Open source, Firebase (Google) : c’est pour aller plus vite…
-
Des données en clair pour… l’interopérabilité
-
Une « astuce » pour le format papier
Commentaires (47)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/06/2021 à 17h04
Je regrette qu’il n’y ait pas eu plus de réflexions sur le format de code QR… surtout quand on voit ce qu’ont fait les québécois.
Leur solution n’est pas parfaite, mais les données sont chiffrées de manière asymétrique : seule la clé publique est nécessaire pour lire les informations contenues et vérifier son authenticité (les données contiennent une signature chiffrée avec la clé privée) ; permettant ainsi de ne pas avoir à utiliser un serveur de vérification centralisé. On pourrait imaginer cette clé publique stockée dans TousAntiCovid Verif et partagée entre les pays de l’UE.
Par contre ce n’est pas impossible à déchiffrer (l’auteur de l’article ci-dessus a bien réussi à le faire).
Le 08/06/2021 à 17h53
Donc de mauvaise sécurité…
Cette méthode c’est juste une signature pour vérifier l’authenticité des données, mais en aucun cas une protection des données. Il y a l’équivalent sur la version fr.
Le 08/06/2021 à 17h28
Petit rappel : on peut être pour ou contre ces dispositifs, l’exprimer, argumenter. Mais il y a des limites à ne pas dépasser quant aux comparaisons faites (et merci de nous éviter les délires conspi)
Le 08/06/2021 à 18h04
Article intéressant mais bon, au final, ce qu’on essaie de nous faire comprendre gentiment, c’est que ça a été fait à l’arrache.
Après, difficile de juger avec un œil extérieur, j’imagine que les équipes en charge de ce bouzin ont dû livrer ça pour avant-hier matin.
Le 08/06/2021 à 18h17
C’est pas le temps que ça prends de générer et appliquer une paire de clés de chiffrement..
Dans mes templates applicatifs, les logins/mdp des profilés utilisateur sont systématiquement chiffrés/salés, que ce soit dans mes bdd (ne contenant pourtant aucunes données persos) ou simplement mes fichiers de conf pour les connexions aux bdd..
Du coup même un truc codé en 1h l’implémente.
Ici le problème c’est l’interopérabilité avec l’Europe qui a décidé de tout laisser en clair et balek..
Le 08/06/2021 à 21h20
Moi aussi j’aurai fait mieux après coup. Je dis pas le contraire.
Mais bon, on connaît aucune des contraintes si ce n’est que ça devait fonctionner dans toute l’Europe et qu’il fallait que ce soit prêt pour la campagne de vaccination. Je cherche pas d’excuses pour ce qui a été « mal » fait. Mais j’ai tellement avalé de couleuvres « ouais ce serait mieux mais là on peut vraiment pas parce que [raison random qui ne dépend de personne dans la salle] » dans ma carrière que je comprend comment ça peut arriver.
Le 09/06/2021 à 04h14
Notes que ça recoupe ce que je disais : le problème n’est pas technique ou du aux temps de dev ( il aurait été facile de faire - ne serait-ce qu’un peu - mieux), mais politique et décisionnaire..
Et quand c’est l’état le donneur d’ordre, je doute que tu puisse facilement te permettre d’adapter les spécifications foireuse du projét pour en faire un truc plus secure / pérenne..
Tiens d’ailleurs, j’ai peut-être raté quelque chose, mais ça a été codé par qui ce bouzin? Encore une boîte random qui s’en est mis plein les fouilles ou en interne par ce qui sert de DSI au gouvernement ?
Le 08/06/2021 à 20h37
Pour avant-hier matin et compatible avec 27 autre pays …
Le 08/06/2021 à 18h13
“Le but étant de « ne pas crypter nos données “
Ça pique toujours autant les yeux…
Le 08/06/2021 à 18h19
Comment on peut sortir “On a fait au plus simple” quand l’application que l’on développe manipule des données sensibles ??
Et ben heureusement que ce type ne bosse pas dans la sécurité -_-
Le 08/06/2021 à 18h34
Vu que chaque état a son propre système, pourquoi pas simplement un QR avec un idcitoyen/ id du pays/ et url du serveur a contacté tous ca signé par la clef publique d’un pays, après le pays fait sa popote interne et répond, oui non peut-être.
Car les cas de contrôle européen seront l’exception non la norme.
Enfin utilisé l’excuse européen est une très mauvaise excuse, car comme dit avant peu de gens quitteront le pays pour avoir ces contrôle rien n’empêche de créer un QR code chiffré fortement en interne et l’européen en cas du sortie du territoire (que ceux ceux qui quitteront le pays utiliseront (une minorité donc)).
Le 08/06/2021 à 18h41
Je suis déçu faire au plus vite avec ce genre de données. C’est comme dire j’enlève les freins pour aller plus vite. Ça ne peut que mal finir…. Hâte de la v2. Par contre version papier pour ma part
Le 08/06/2021 à 20h44
Le principe du pass sanitaire européen c’est d’être utilisé en Europe… Qui vous dit que peut de monde va bouger au sein de l’Europe ?
L’identifiant des citoyens européens n’existe pas encore. Et justement le pass européen est conçu pour éviter une bb centrale
Le 08/06/2021 à 21h13
Pacque ça demande de la coordination, la spécification des formats et des APIs des serveurs, ça demande à être intégré avec le reste du logiciel maison de gestion de la vaccination et qu’il a fallu développer le tout probablement en quelques semaines.
J’ai aucun doute qu’ un temps infini à été perdu en meetings, incompréhensions, responsabilités diluées, spécifications incomplètes, stress, allers retours, … divers et variés, mais c’est malheureusement le lot commun de cette industrie et c’était certainement pas sur un projet aussi urgent et impliquant autant d’acteurs divers et variés que ça allait changer.
Le 08/06/2021 à 23h53
La on parle quand même de donnée de santé c’est pas la photo de vacances de taty ganine un bordel pareille démontre surtout l’incompétence totale des gouvernements quand on parle de technologie
Le 08/06/2021 à 23h56
Relisez mon commentaire je parlais d’avoir le lisibles uniquement pour ceux qui en on besoin et un plus sécurisé en interne
Aussi non vous me dites que c’est pas une minorité donc selon vous la majorité des français quitte la France ? J’en doute fortement.
Le 09/06/2021 à 04h46
Ce n’est pas la majorité, mais il y a en France près de 400000 travailleurs frontaliers. Et là, on ne parle que des travailleurs.
Je n’ai pas la moindre idée du nombre de Français qui ont aller faire du tourisme, mais ça va faire du monde aussi.
Le 09/06/2021 à 06h25
400 000 travailleurs transfrontaliers ca vous suffit pour s’assoir sur les données sensibles de TOUTE la population ?
Et faut être vraiment déconnecté pour s’imaginer qu’un nombre signifiant de français partent faire du tourisme à l’etranger, encore plus avec le covid…
Le 09/06/2021 à 06h46
Et par signifiant j’entends 5 ou 10 % face au 90 ou 95% d’en face, pour influer sur un tel choix technologique.
Z’ont surtout un gros pb avec la confidentialité de leurs ouailles ces gens.
Le 09/06/2021 à 06h52
Bien au contraire.
C’est quoi ta marque de boule de cristal ? Rien que le montant des avoirs dans les agences de voyages à cause des annulations de l’année dernière (sans compter la frustration provoquées par ces vacances avortées) pourrait (après avoir dit “je n’ai pas la moindre idée”, j’utilise le conditionnel) avoir un impact fort.
Le 09/06/2021 à 07h33
Après quelques recherches, sur une grosse année sans covid comme 2018 environ 20% partent à l’étranger sur les 50 % de français qui partent en vacances.
Soit grosso modo, 10% pour 90% en face.
Le 09/06/2021 à 07h37
6 millions de personnes concernées. Plus tous les frontaliers (pas que les travailleurs) qui vont régulièrement de l’autre côté de la frontière pour la journée. Tu n’as pas idée du nombre de personnes que je connais qui vont en Belgique pour acheter leurs cigarettes et qui en profitent pour y passer la journée. Ou ceux qui vont dans les parcs d’attraction mais qui ne sont pas dans les chiffres que tu as trouvés.
Loin d’être négligeable.
Le 09/06/2021 à 07h47
Pas négligeable je te l’accorde.
Mais pour moi pas recevable aussi pour justifier un unique choix technologique.
Bonne journée.
Le 09/06/2021 à 07h20
Ils font comment les autres pays européen pour communiquer ces infos entre eux ?
Ça sent le bullshit, mais j’aimerai m’en assurer.
https://ec.europa.eu/health/ehealth/covid-19_en
https://ec.europa.eu/health/sites/default/files/ehealth/docs/digital-green-certificates_v5_en.pdf
Ah bah …
Le 09/06/2021 à 07h40
Ça fait plaisir de voir une application manifester autant de bonne volonté
Le 09/06/2021 à 09h32
Tu ne dois pas vivre à moins d’1h d’une frontière pour tenir ce genre de propos.
Choix technologique qu’il n’est en rien obligatoire d’utiliser.
Bonne journée.
Le 10/06/2021 à 05h21
Le nombre de travailleurs transfrontaliers avaient déjà été donné et je parlais ici des vacanciers (“partent en vacances”). Je ne vois pas le rapport avec le fait de vivre ou non à côté d’une frontière. Ah oui je n’ai pas intégré clopes, alcool et essence…
Choix techno pas obligatoire. OK donc l’argument t’as qu’à retourner au papier, nous on développe pour ceux qui affichent leurs données est recevable. Bravo.
Le 09/06/2021 à 09h41
Juste pour savoir, quelle est ta réference de gestion d’un projet à plus d’un acteur ?
Car la il faut mettre autour d’une table 27 acteurs différents pour trouver une solution à l’unanimité.
Déjà par expérience avec 2 ou 3 acteurs différents c’est coton, alors 27… Sans même parler de compétences techniques.
On est la typiquement dans le yakafokon
Le principe était de rouvrir les frontières au plus vite pour la période estivale. Est-ce qu’ils ont raison, c’est une autre histoire mais dans tous les cas, l’appli n’est pas obligatoire.
Le 09/06/2021 à 12h24
Pour le coup gros +10.
Oui on peut regretter que l’application telle qu’en l’état soit moisie à de nombreux points de vue, y compris sécurité et confidentialité.
Mais ce n’est certainement pas dans un contexte d’urgence avec facteur de complexité exponentiel en fonction du nombre de parties impliquées qu’on vise la qualité, à fortiori quand ça demande de maîtriser des concepts qui sont déjà pas trop appliqués dans un contexte de gestion “normale” de projet…
On devrait plutôt se réjouir qu’ils semblent à l’écoute des critiques (cela n’est pas toujours vrai ;)).
EDIT : par ailleurs, je n’arrive toujours pas à comprendre quelles sont exactement les données personnelles à risque.
Mon nom et mon prénom, je suis bien obligé de les exposer ne serait-ce que sur Linkedin.
Ma date de naissance, plus ou moins pareil (je la donne jamais si pas vraiment nécessaire, mais au moins sur les sites de CV et sites officiels ça me paraît compliqué de spécifier un truc faux).
Reste le numéro de sécurité sociale s’il est inclus, mais j’ai cru comprendre que non.
Et le fait qu’on a été vacciné… Oui c’est une donnée personnelle, oui c’est une donnée médicale. Mais je ne vois pas en quoi connaître ça peut permettre de connaître quoi que ce soit d’autre sur mon “profil”, et c’est un peu la donnée essentielle du dispositif donc…
Bref, je comprends qu’on critique sur le principe de non-confidentialité (au moins pour marquer le coup en prévision d’applis futures), mais en l’état concrètement que risque-t-on ???
Le 09/06/2021 à 12h41
Même remarque sur les données… Nom, prénom, vacciné ou contaminé/guéri ou PCR négatif. Bon… Pas over sensible non plus. Surtout que déjà nom, prénom ça sera vérifié ou vu dans la plupart des endroits où le pass sera demandé (genre aéroport, ou pour entrer à un concert sur le billet).
Le 09/06/2021 à 12h50
Alors pourquoi Cédirc O et les autres continuent de mentir au lieu de dire clairement “on n’a pas jugé que ces données étaient confidentielles”?
Pourquoi y a-t-il autant de remarques de la CNIL?
Le 11/06/2021 à 10h00
Concernant la vaccination, ce qui est important c’est le nombre d’injections:
Ceci rajouté à la question de la date, effectivement.
Si ces informations figurent en clair, c’est effectivement gênant.
Le 09/06/2021 à 11h46
Si je prend une photo d’un vert il deviendra rouge ? J’ai des doutes !
Le 09/06/2021 à 11h55
Si tu flashes le code de quelqu’un d’autre, il faudra que cette personne ait les mêmes nom, prénoms et date de naissance. Ca commence à devenir un peu coton.
Le 09/06/2021 à 12h03
Pour voyager peut être mais si on nous le demande à tout bout de champs pour des choses simple genre boire un verre / aller au ciné il suffira d’avoir un age approximatif et une photo ayant un rapport avec le nom. Les mecs n’aurons surement pas le temps de contrôler et la carte d’identité et le passe sanitaire.
A quand des code qr sur le dark web ?
Le 09/06/2021 à 12h11
C’est faux. République Française
Accessoirement te demander ce pass en dehors des cas prévus par le décret, donc au bar, au resto ou au cinéma est puni.
Le 09/06/2021 à 13h23
Pour nom / prénom / date de naissance, ce n’est pas tant le fait de les exposer que le contexte qui va avec. La personne qui va scanner ton QR code obtient ces infos avec en complément le lieu où tu te trouves quand tu scannes et la date. (en gros la même chose que si tu scannais un titre de transport nominatif, un billet d’entrée pour un spectacle ou une carte de fidélité, sauf que là tu n’as pas consenti à un usage de la donnée)
Comme toute l’info se trouve dans le QR (pour rappel, le pb ce n’est pas l’appli, c’est le fait que les infos soient en clair dans le QR, l’attestation papier a le même pb), rien n’empêche le terminal qui scanne de les extraire et de les stocker en plus de vérifier le passe. (car un terminal peut très bien exécuter plusieurs applis, c’est pas parce que l’appli TousAntiCovid-Verif ne stocke rien que le device est clean).
Après ce serait bien évidemment illégal, mais l’illégalité n’est pas une protection a priori.
Pour la donnée de vaccination, je ne vois pas forcément d’exploitation dans le cas “standard”, après par ex si tu as été vacciné plus tôt que l’ouverture de ta classe d’âge, ça va indiquer que soit tu fais partie d’un métier prioritaire, soit tu as bénéficié d’une dose de rab qu’il ne fallait pas perdre, soit tu as une comorbidité, soit tu as fraudé. (sans possibilité de trancher entre les possibles). Difficile d’estimer la valeur/le risque d’une telle info, ça dépend qui la récupère et pourquoi. Je suppose que si j’avais une comorbité, je n’aurais pas forcément envie qu’une assurance le sache par ex.
Après même si je vois mal une exploitation de tout ça à grande échelle se mettre en place, ça reste dommage d’avoir donné la possibilité.
Le 10/06/2021 à 08h54
Merci pour l’éclaircissement.
Le 09/06/2021 à 16h37
Je parle pas de la version EU.
Rien empêchait de faire la version eu à demander manuellement. Et une version France uniquement plus sécurisée pour les 80% de la population qui n’auront pas besoin de la EU
Le 10/06/2021 à 05h28
Je commence à devenir un peu trop accro aux commentaires. Me relance pas Carbier stp Bonne journée
Le 11/06/2021 à 09h27
Il n’est pas rare que beaucoup utilisent encore leurs dates de naissance, noms ou prénoms comme mot de passe pour leurs comptes parce que c’est facile à retenir et qu’ils n’appliquent pas les bonnes pratiques, pas de chiffrement signifie un risque si jamais il y a une fuite de données, ou bien il faudrait que rien ne soit stockés dans un quelconque appareil, ses données à première vue non sensibles se retrouvent dans la nature et elles intéresseront toujours certains, additionner une série de données non ou peu sensibles permet de mettre la main sur des données qui le sont beaucoup plus.
Le 11/06/2021 à 12h16
C’est juste du bullshit le gars n’avait pas envie de s’embêter c’est tout car l’europe a bien prévu du chiffrement avec clef et tout cf commentaire de benbart34
gros +1 et merci pour le pdf.
Le 11/06/2021 à 16h29
Oui, merci.
Par contre, j’admets que je sais pas si ça parle uniquement de signature ou clairement de chiffrement comme norme. enfin dans tout les cas, même si la signature est la norme, ça implique une clefs à échanger, sinon l’application ne pourra pas fonctionner “légalement” aux frontières ( sauf s’il y a coopération de la police française en premier lieu )
Et pour rejoindre corbier, ayant déjà travailler dans les Sogeti computacenter and co’,
J’admets aussi que c’est compliqué la gestions des scopes ( qui fait quoi, quoi est responsable, à qui envoyer le ticket, soumission aux chefs/managers à chaque échelons, etc …. ).
Bref, un petit bourbier, demandez ça aux fonctionnaires, ça va se retrouver chez scaleway (pourquoi pas) ou sur azure (LUL) … et ça sera pas forcement plus rapide, les postes de fonctionnaire ça se créer pas comme ça et c’est pas non plus un petit projet. Pour une application qui sera utilisé pour quelques mois, ça na pas “d’intérêt” ( surtout quand on dégraisse le Mammouth ^^ ).
Pour les QRcode, je trouve ça dur. surtout le fait d’annoncer qu’ils ont tout fait pour pas que ça soit pas chiffré.
Mais j’admets aussi que, en cas d’une panne des services, ça pourra toujours fonctionner c’est certain.
Donc, peut être bullshit ( il est fort pour ça Cédric O ), mais après il est vrai qu’il faut aussi lâcher un poils de leste selon moi, pour les attendre au tournant ( mais je pense que certains le ferons dans tout les cas ^^).
De toutes façon, dans l’urgence, on fait jamais rien de bon. ( ou alors très rarement )
Le 14/06/2021 à 09h32
“De toutes façon, dans l’urgence, on fait jamais rien de bon. ( ou alors très rarement )”
FUCKING AMEN to that…
Et sinon, merci à tous ceux qui ont contribué à répondre à mes interrogations / éclaircir les enjeux
Le 11/06/2021 à 17h00
On est toujours dans l’urgence quand on passe son temps à changer d’avis.
Macron et Véran était opposés à l’idée même d’un “pass sanitaire” il y a à peine 6 mois. Mais on n’est pas une incohérence près dans la gestion de cette crise, cf notamment la dernière fermeture des écoles.
Le 12/06/2021 à 11h53
En effet, c’est un peu un tube de l’été depuis bientôt 5 ans maintenant.
Mais pour rester factuel, ça serai intéressant de se poser ces questions :
Ils ont eu combien de temps pour préparer l’application exactement ?
Du jour ou ils se sont dit “Bon, cédric, prépare l’application” au jour ou le repo GIT est créer.
Et surtout, l’europe avait t-elle déjà communiqué un draft sur le proxy européen.
Le 12/06/2021 à 12h03
Le pass sanitaire est expérimenté notamment entre Malte et la France depuis début mai, et depuis avril entre Corse et continent.
C’est juste du foutage de gueule de la part de Cédric O, tout aussi incompétent que Mounir Majoubi, les 2 grands guignols du numérique français.