Attestation numérique de déplacement : code source du générateur, raccourci iOS et nom de domaine dédié
Le 07 avril 2020 à 08h50
1 min
Internet
Après la mise en ligne du formulaire ce lundi, le Lab du Ministère de l'Intérieur a diffusé l'intégralité de ses fichiers au sein d'un dépôt GitHub, sous licence MIT.
Cela permet de vérifier notre analyse, à savoir que le traitement est bien effectué de manière locale. Il faut également s'attendre à ce que certains s'amusent à détourner le code source, pour en faire une version exploitable en ligne de commandes par exemple.
Nos confrères d'iGen ont de leur côté publié un guide permettant de simplifier le remplissage du formulaire via un raccourci iOS. De quoi vous permettre de gagner du temps, le formulaire actuel n'étant pas adapté.
Enfin, nous avons mis en place une redirection afin d'utiliser un nom de domaine plus simple à retenir pour accéder à ce générateur d'attestation numérique :
Le 07 avril 2020 à 08h50
Commentaires (72)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/04/2020 à 07h38
#1
L’application Raccourcis porte bien son nom 😁
Merci pour ces liens
Le 07/04/2020 à 07h43
#2
Le QR code ne contient effectivement aucune signature…
Les données du QR sont définies là: https://github.com/LAB-MI/deplacement-covid-19/blob/40251245d29e8a03f8f88dcbfa85…
Le 07/04/2020 à 08h03
#3
Ça à l’air safe en effet… La seule requête qui part sur le site lors de la validation du formulaire, c’est pour télécharger l’attestation vierge :https://media.interieur.gouv.fr/deplacement-covid-19/certificate.84dda806.pdf
Le 07/04/2020 à 08h16
#4
De toute façon on peut vérifier le QR code avec une application externe, on voit bien qu’il n’y’a aucune autre info que celles rentrées et l’heure.
Le 07/04/2020 à 08h17
#5
Le site du ministère peut être enregistré en raccourci sur l’acran d’accueill sous Firefox avec Android 10. Mais si la page web s’ouvre bien, je peux pas lancer le formulaire :-(
Le 07/04/2020 à 08h22
#6
C’est sympa pour la redirection, merci
Le 07/04/2020 à 08h22
#7
lattestation.fr, excellent ^^ Est-ce que Attestation va bientôt devenir un nom propre faisant référence à cette période historique ?
Le 07/04/2020 à 08h25
#8
C’est normal que j’ai pas de QR code ?
" />
" />
Le 07/04/2020 à 08h35
#9
Open source (et même libre !), simple et sans traqueur, et ça génère un bête pdf… Je suis agréablement surpris
" />.
Le seul souci que je vois, c’est l’URL à la con (merci NXI !).
Le 07/04/2020 à 08h35
#10
Je ne parviens pas à le faire fonctionner avec Wamp, il me manque un truc 
" />
" />
Gros boulet si je ne récupère pas les éléments connexes
Le 07/04/2020 à 08h37
#11
Fonctionne pas non plus sous Firefox Preview…
" />
Le 07/04/2020 à 08h40
#12
Le 07/04/2020 à 08h51
#13
Tu veux dire que le PDF vierge est après alimenté en local ???
Oui c’est bien ça.
Le 07/04/2020 à 09h03
#14
pour certain le problème c’est de retrouver le PDF sur le téléphone au moment du contrôle 
" />
Le 07/04/2020 à 09h08
#15
Le formulaire a été développé à partir d’une application créée dès le début du confinement : 2 semaines pour ajouter un qrcode… ça à intérêt à être sans reproche
" />
Reste plus qu’à avoir les sources du lecteur de qrcode des forces de l’ordre. C’est peut être cette partie qui a mis du temps à être développée, pourquoi utiliser COVIDREADER développé par le service des technologies et des systèmes d’information de la sécurité intérieure alors qu’un lecteur lambda fait l’affaire ?
Le 07/04/2020 à 09h09
#16
Dis, tu sais que tu as ton nom et ton prénom sur ta boite aux lettres et que ce sont des informations publiques ?
Et on peut considérer que si tu as un nom sur une boite aux lettres, tu es assez adulte pour avoir du pognon (ce qui est l’info principale liée à la date de naissance, soit si tu es un adulte ou un enfant) .
Le 07/04/2020 à 09h10
#17
Il faut habiliter l’app à installer sur les divers terminaux des forces de l’ordre.
La simple vérification et validation de l’installation de l’app peut prendre ce temps, c’est pas si ridicule que ça.
Le 07/04/2020 à 09h11
#18
Avec Firefox sur Android, le pdf généré est vide de Qr-code.
Quelqu’un rencontre le même problème que moi ?
Le 07/04/2020 à 09h23
#19
Je viens de télécharger Firefox sur Android 10 et j’ai bien un code QR sur le fichier PDF.
Le 07/04/2020 à 09h28
#20
Hier soir j’ai commit le résultat de mon retro-engineering du projet et au niveau des confs je suis un peu plus light par rapport à l’original. https://github.com/8HoLoN/deplacement-covid-19
Le 07/04/2020 à 09h29
#21
“Lattestation” tu veux dire ?
" />
Le 07/04/2020 à 09h29
#22
Le 07/04/2020 à 09h30
#23
https://github.com/tdopierre/AttestationNumeriqueCOVID-19
En Python.
Le 07/04/2020 à 09h36
#24
Ils ne parlent pas des logs
" />
Le 07/04/2020 à 09h38
#25
Une app est dispo sur f-droid pour générer le pdf et le QR
Le 07/04/2020 à 09h38
#26
Cette absence de contrôle d’intégrité supprime la nécessité pour celui qui veux se soustraire à l’obligation de rester chez lui d’avoir soit à imprimer le document, soit à le recopier sur papier libre.
Il n’est pas impossible d’inscrire l’heure sur le papier à la vue d’un contrôle des forces de l’ordre, mais il est encore plus simple d’utiliser un formulaire modifié afin de générer un code QR falsifié juste en appuyant sur un bouton. Et il est encore beaucoup plus simple de générer une cinquantaine de fichiers PDF avec l’heure voulue immédiatement disponibles pour être présentés lors du contrôle.
Le 07/04/2020 à 09h44
#27
C’est aussi un truc qui est marrant quand tu vois d’autre pays que la France.
En Estonie par exemple, tu n’as pas de nom/prénom sur la boîte aux lettres, mais un numéro de boîte à la place.
Le 07/04/2020 à 09h54
#28
Chez nous la Poste n’est pas censée distribuer le courrier si le nom du destinataire ne correspond pas au nom sur la boîte à lettres pour un même numéro de rue.
Le 07/04/2020 à 10h01
#29
Attention, il y a un bug (probablement dû à un changement de dernier moment) : les données sont sauvegardées dans le local storage du navigateur… Donc persistent même après redémarrage ou suppression des cookies… Je conseille d’utiliser en navigation privée. Le bug a été remonté, ils devraient corriger.
Le 07/04/2020 à 10h39
#30
Petite question quand même, le scan du QR code permet peut-etre d’enregistrer l’attestation à la volée ? Ce qui n’aurait pas été fait avec le papier ?
Le 07/04/2020 à 10h42
#31
Oui il n’y a absolument aucune mesure contre la génération de QR à la volée avec une fausse date de génération.
" />
" />
“Il faudra préciser votre heure de sortie, mais l’heure à laquelle vous
avez édité le document sera accessible aux policiers. Cela évitera que
des personnes remplissent l’attestation uniquement à la vue d’un
contrôle de police.”
Pour ça, faudrat revoir votre implémentation
Après, il faut souligner que leur solution reste respectueuse de la vie privée, mais il y avait bien des moyens d’empêcher la génération à la volée des QR codes sans stocker plus d’informations qu’actuellement.
Si ça pouvait permettre de limiter les sorties de certains. Non, là on a une belle solution pour que des personnes puissent allègrement gruger le système et rester dehors tout en laissant les forces de l’ordre penser que ce système est infalsifiable.
Le 07/04/2020 à 10h44
#32
Le 07/04/2020 à 10h59
#33
Fonctionne pas.
Le 07/04/2020 à 11h13
#34
Chez moi, ça marche.
" />
Je sais, mon commentaire est aussi inutile, mais il est là pour la démonstration.
Le 07/04/2020 à 11h26
#35
Tu nous fait le coup du dev qui dit “ça marche sur mon PC !” ?
" />
(et c’est en envoyant les PC de devs en prod que Docker est né)
Le 07/04/2020 à 11h36
#36
Juste un stockage départemental permettrait de relever les petits malin qui sortent 10 fois par jour …
Le 07/04/2020 à 11h53
#37
Rien n’indique que c’est mis en place déjà et il semblerait plutôt que ce ne soit pas le cas.
Et aussi, cette méthode ne fonctionnerait que si on contrôle plusieurs fois cette même personne.
Tu ne choperas pas les tricheurs qui génèrent un QR code à la volée et qui ont été contrôlé une seule fois dans la journée ;)
On peut saluer la nouvelle solution qui évite d’avoir à imprimer du papier et permet de faciliter le processus pour quelqu’un qui n’aurait pas d’imprimante.
Mais elle ne permet pas de meilleurs contrôles, ils ont pas mis en place ce qu’il fallait pour. Niveau contrôle, y a rien du tout.
Le 07/04/2020 à 11h54
#38
Tiens, ils se sont rendu compte que le projet github ne doit pas s’appeller « deplacement-codiv-19 » mais « deplacement-covid-19 » (l’article a l’ancien nom, et on est redirigé)
Le 07/04/2020 à 11h57
#39
Le 07/04/2020 à 12h00
#40
Le 07/04/2020 à 12h10
#41
Le 07/04/2020 à 12h13
#42
ok rien est enregistré lors de la génération du questionnaire, mais au moment de la lecture du dit questionnaire ?
Le 07/04/2020 à 12h20
#43
Avec Vivaldi Android, j’ai pu enregistrer la page pour l’avoir en hors connexion avec un raccourci sur le bureau. Utilisable en permanence.
Le 07/04/2020 à 12h24
#44
Le 07/04/2020 à 12h27
#45
Le 07/04/2020 à 13h52
#46
Plutôt que de se compliquer la vie avec des sites permettant de générer des QR codes à la volée, il suffit de modifier l’heure de son ordinateur ou de son smartphone, bizarrement, l’heure de création de l’attestation est celle affichée par l’ordinateur. J’ai testé avec des heures dans le futur et dans le passé et il n’y a pas eu de soucis pour créer l’attestation, le QR code affiche l’heure qui était mentionnée sur mon ordinateur à ce moment là.
Le 07/04/2020 à 13h53
#47
Le 07/04/2020 à 14h02
#48
Le mot important ici est “censée”.
Je me bouffe plein de courrier d’autres gars parce que le stagiaire n’arrive pas à lire une adresse. Le mec a presque le même nom que moi (une lettre de différence) mais une adresse TOTALEMENT différente et le facteur arrive à me foutre son courrier dans ma boîte aux lettres (et j’ai écris mon adresse sur la boîte aux lettres avec la dymo, mais à priori ça suffit pas).
Le 07/04/2020 à 14h21
#49
Cela démontre la parfaite inutilité du procédé.
Le 07/04/2020 à 14h53
#50
Le 07/04/2020 à 15h06
#51
Oui c’est clair. Je pense qu’ils ont mis en place ce système d’attestation numérisée pour éviter les impressions inutiles de documents vu que certains avaient besoin de nombreux papiers chaque jours, à une période où on nous dit en permanence qu’il faut dématérialiser les démarches et qu’il faut protéger la planète D’ailleurs, les vendeurs de cartouches d’encres et de feuilles se frottent les mains depuis le début du confinement.
Mais comme d’habitudes, les idées du gouvernement se heurtent parfois à la bêtise des administrés qui cherchent tous les moyens possibles pour sortir de chez eux.
Afin d’éviter que des petits malins mettent en place un système de remplissage automatique via une application ou un code, le gouvernement a cru que le QR code serait suffisamment sécurisé avec la date et heure de création pour empêcher les petits malins de trouver des astuces pour échapper au contrôle. Dans le but de ne pas se mettre à dos la CNIL et associations s’intéressant aux libertés individuelles, ils ont mis le code source à disposition mais au final, le développement du service de dématérialisation a été bien trop simplifié. Bon, l’avantage c’est qu’il ne coutera surement pas très cher en développement. Cela me rappelle la période de dématérialisation des déclarations d’impôts avec un certificat qu’il fallait réimplanter dans le navigateur chaque année, plus tard, ils ont simplifié le principe, et heureusement car ce n’était pas pratique. Ici, ils ont simplifié dès le départ mais avec le risque que des développeurs utilisent ce système pour créer des pages web ou des applications générant des attestations.
Le 07/04/2020 à 15h08
#52
Le 07/04/2020 à 15h13
#53
J’ai la même chose depuis plusieurs années. Pour ma part, ce n’est pas une histoire de nom mais d’adresses avec un numéro quasiment identiques. La mairie a donné il y a 20 ans des noms de rues identiques en changeant juste la dénomination. Lorsque la mesure du nombre de mètres par rapport au début de la rue est arrivé, je me suis retrouvé avec le même numéro qu’une résidence de vacances située à 100 m de chez moi. Les facteurs changeant quasiment toutes les semaines, un nombre incalculable de lettres ou de colis arrivent dans la boite de ces vacanciers, j’ai contacté à de nombreuses reprises la poste, le receveur mais mis à part mettre des notes aux facteurs, il ne peut rien faire. La mairie ne peut rien faire non plus. Le nom sur la boite ne change rien, le courrier est distribué sans lire l’adresse
Le 07/04/2020 à 15h17
#54
Non mais moi l’adresse est totalement différente, numéro, rue et ville.
" />
La seule explication que j’ai est l’inverse, c’est pas un nouveau facteur mais un ancien qui connaît mon nom (vu qu’il y a qu’une lettre qui change dans le nom du courrier).
Ça veut dire que le facteur ne lit même pas l’adresse mais juste le nom
Le 07/04/2020 à 15h30
#55
Je sais que dans certains coins, les facteurs avaient plus l’habitude de regarder le nom que l’adresse mais je pensais que cette pratique avait disparue avec les départs en retraites. Cette habitude provenait d’une période où il n’y avait pas réellement d’adresse, juste des lieux dits et le nom. J’ai vu cela dans certains villages des Pyrénées et en Bretagne dans des petits villages. Mais l’arrivée des noms de rues a théoriquement mis fin à ces habitudes, surtout que le nom ne veut plus dire que la famille réside toujours dans le coin.
Un de mes anciens facteurs (enfin celui qui était le plus présent en 2017, c’est à dire 3-4 mois presque en continu) m’avait dit qu’il ne regardait pas le nom mais se fiait à l’adresse par contre, à force de faire la même tournée il connaissait une bonne partie des noms, surtout ceux recevant régulièrement du courrier, ce qui est mon cas avec les abonnements aux magazines, les courriers nominatifs, etc.
Le 07/04/2020 à 15h41
#56
D’après Castaner: “Il faudra préciser votre heure de sortie, mais l’heure à laquelle vous
avez édité le document sera accessible aux policiers. Cela évitera que
des personnes remplissent l’attestation uniquement à la vue d’un
contrôle de police.”
Donc oui, le but était aussi de diminuer la fraude.
Après, pour ce qui est d’éviter de devoir utiliser du papier, la solution est bonne.
Mais il faut bien se rendre compte que cela facilite la fraude, pas l’inverse.
Le 07/04/2020 à 15h43
#57
J’ai un souci pour générer l’attestation sur mon smartphone sous Sailfish OS (X).
D’autres utilisateurs de Sailfish OS (X) ont ils réussi ?
Le 07/04/2020 à 15h46
#58
Le 07/04/2020 à 15h56
#59
Le 07/04/2020 à 18h12
#60
Pas quand ce sont les forces de l’ordre qui font un acte illégal, ce qui serait le cas ici.
Voir ici :
En matière pénale, c’est l’inverse : la vérité prévaut sur la loyauté mais seulement pour les personnes ne relevant pas de l’autorité publique : pour ces personnes, s’ils produisent une preuve illégalement ou déloyalement acquise, la preuve devrait être admise. On peut alors parler du “régime de la vérité” . Par ailleurs, pour les personnes relevant de l’autorité publique (juges, policiers, etc.), elles sont soumises au “régime de loyauté” .
Le gras est de moi.
Le 07/04/2020 à 18h58
#61
Ah oui peut-être, je n’avais pas pensé à ce cas de figure.
Le 08/04/2020 à 06h57
#62
Je ne vois pas bien où est le problème qu’une personne sorte 10 fois par jour si elle dispose du formulaire correctement rempli.
Je ne vois pas bien sur quelle partie de la loi un juge pourrait s’appuyer pour dire que ce comportement est illégal ?
Le 08/04/2020 à 07h25
#63
Le 08/04/2020 à 07h36
#64
Il n’y a pas de limite au nombre de sorties quotidiennes (acheter du PQ, acheter une baguette, acheter un steak, …), le chien en général il faut le sortir 2 ou 3 fois par jour.
Je ne dis pas que c’est bien ou pas bien, je dis juste que ce n’est pas illégal.
Le 08/04/2020 à 07h45
#65
Le 08/04/2020 à 08h01
#66
Pour les achats, je pense que le diable est dans “achats de première nécessité”.
Le 08/04/2020 à 08h14
#67
Les achats “de première nécessité” sont les achats possibles dans les établissement décrits en annexe de l’article 8 du décret (ça laisse de la marge) :
Les activités mentionnées au II de l’article 8 sont les suivantes :
Entretien et réparation de véhicules automobiles, de véhicules, engins et matériels agricoles.
Commerce d’équipements automobiles.
Commerce et réparation de motocycles et cycles.
Fourniture nécessaire aux exploitations agricoles.
Commerce de détail de produits surgelés.
Commerce d’alimentation générale.
Supérettes.
Supermarchés.
Magasins multi-commerces.
Hypermarchés.
Commerce de détail de fruits et légumes en magasin spécialisé.
Commerce de détail de viandes et de produits à base de viande en magasin spécialisé.
Commerce de détail de poissons, crustacés et mollusques en magasin spécialisé.
Commerce de détail de pain, pâtisserie et confiserie en magasin spécialisé.
Commerce de détail de boissons en magasin spécialisé.
Autres commerces de détail alimentaires en magasin spécialisé.
Les distributions alimentaires assurées par des associations caritatives.
Commerce de détail de carburants en magasin spécialisé.
Commerce de détail d’équipements de l’information et de la communication en magasin spécialisé.
Commerce de détail d’ordinateurs, d’unités périphériques et de logiciels en magasin spécialisé.
(…)
Le 08/04/2020 à 08h21
#68
Je suis pas sûr.
" />
“des achats de première nécessité dans des établissements dont les activités demeurent autorisées par l’article 8 du présent décret”.
Pour moi, rien ne dit que ce que t’achètes dans ces magasins est de première nécessité, mais que tu peut faire tes achats de premières nécessité dans ces magasins. Mon problème, c’est que je vois pas comme est défini la notion de “première nécessité”.
Nb : discution purement “théorique”, je ne suis pas juge
Le 08/04/2020 à 08h34
#69
Quand on pense que la Fnac vient d’ouvrir un drive avec la bénédiction des médias maintsream, j’ai du mal à limiter la première nécessité à la simple survie.
D’autant que les forces de l’ordre n’ont pas le droit de fouiller tes affaires sans autorisation.
PS : Je ne suis pas juriste non plus
Le 08/04/2020 à 08h46
#70
Le 08/04/2020 à 09h25
#71
Le 08/04/2020 à 16h07
#72
T’es pas passé à côté de quelque chose dans notre discussion ?
Nb : Je précise, aucune agression de ma part avec ce post :)