Europe : feu vert du Parlement pour le certificat Covid numérique
Le 11 juin 2021 à 07h43
2 min
Droit
Droit
Il a été approuvé en session plénière : 546 votes pour, 93 contre et 51 abstentions (pour les citoyens européens), et 553 votes pour, 91 contre et 46 abstentions (pour les ressortissants de pays tiers).
« Ce certificat sera délivré gratuitement par les autorités nationales: il sera disponible au format numérique ou papier et contiendra un code QR. Il attestera que son détenteur a été vacciné contre le coronavirus, qu’il a reçu récemment le résultat d’un test de dépistage négatif, ou qu’il s’est remis de l’infection », explique le Parlement.
En France, des QR-Code sont déjà disponibles pour les personnes vaccinées, qui peuvent l’importer dans l’application TousAntiCovid. Il sera remplacé par le système européen à partir du 23 juin, en prévision du lancement du pass européen le 1er juillet.
« Le texte devra à présent être formellement adopté par le Conseil et publié au Journal officiel, en vue de son entrée en vigueur immédiate et de son application à partir du 1er juillet 2021 », rappelle le Parlement.
Le 11 juin 2021 à 07h43
Commentaires (8)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/06/2021 à 09h37
Du coup, c’est un autre QR-Code avec un autre format et d’autres informations sur la version Européen ?
Le 11/06/2021 à 11h22
Le 11/06/2021 à 12h34
https://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/safe-covid-19-vaccines-europeans/eu-digital-covid-certificate_fr
Je crois que le QR est déjà celui qui sera utilisé pour le certificat européen vu qu’il ne sert qu’a valider.
Je ne parviens juste toujours pas à comprendre comment la signature numérique permet d’éviter la falsification si :
Je suppose qu’il y a quelque part un truc qui évite de juste copier le QR code, mais je ne sais pas quoi (si quelqu’un a la réponse je prends)
Le 11/06/2021 à 19h00
Si tu calcules un hash en local des données personnelles (facile à faire), tu peux envoyer juste ce hash au serveur pour qu’il vérifie qu’il l’a bien dans sa liste de certificats valides. Si la même chose est faite au moment de l’émission du certificat (le serveur rajoute alors le hash à sa liste au lieu de rechercher dedans), le serveur ne stocke que les hash sans aucune donnée associée.
Changer les données personnelles sur le certificat modifiera le hash calculé en local, sans qu’il ne soit possible de modifier de manière à trouver le même hash qu’avant, et le serveur refusera ce nouveau hash parce qu’il ne sera pas dans sa liste.
Pour faire la vérification en offline, il faudrait que le terminal télécharge la liste de hash depuis le serveur. C’est pas impossible, ces hash ne sont pas privés, ça demande juste assez de stockage. Ou alors fonctionner un peu différemment, avec une paire de clés publiques/privées, il n’y a plus besoin que de stocker la clé publique.
Par hash, comprenez n’importe quelle opération de ce type, je ne suis pas expert en sécurité et donc je ne désigne pas un algorithme ou une méthode spécifique, je donne juste l’idée du truc. De même, si j’ai dit une connerie, corrigez-moi.
Le 12/06/2021 à 10h01
Dans cet exemple : Le falsificateur n’a qu’a trouver un hash qui sera vérifié “OK”. Comme de copier celui de quelqu’un pour qui le QRcode est valide. En gros reprendre les données de celui-ci et. Puisqu’il suffit juste de l’imprimer ou de l’afficher… facile. On peut même fabriquer une appli mobile bidon qui ne présente qu’un seul écran repris d’autre chose…
Le contrôleur n’aurait pas de moyen de savoir que ce hash est bien celui de la personne.
Il y a peut être plus que cela.
Le 11/06/2021 à 19h05
Et peut-on se vacciner et refuser d’être inscrit dans ce fichier ?
Le 13/06/2021 à 09h55
Dans mon exemple, le hash n’a pas besoin d’être inscrit sur le document, il est calculé à chaque fois partir des données personnelles par le terminal de vérification. Le QR-Code ne contient qu’une représentation informatique des données inscrites juste au-dessus, dont on veut vérifier l’authenticité sans les transmettre telles quelles au serveur.
C’est comme ça que la question à laquelle j’ai répondu était posée, j’ai donné un exemple d’implémentation possible. Le débat de savoir si c’est une bonne chose ou non que le QR-Code contienne ces informations, ou de si c’est comme ça que c’est réellement fait sur ce certificat, est hors-sujet, ou alors j’ai mal compris la question.
Le 13/06/2021 à 10h06
Ah oui, si jamais c’est sur ça qu’on s’est mal compris, il faut bien sûr que le contrôleur vérifie que les nom/prénom du QR-Code (suffisant je pense) correspond à la personne qu’il a en face de lui. Mais ça ne faisait pas non plus partie de la question posée, et de toute façon, aucune méthode informatique utilisable dans ce cadre ne pourra faire cette vérification, avec serveur distant ou non.