Il a été approuvé en session plénière : 546 votes pour, 93 contre et 51 abstentions (pour les citoyens européens), et 553 votes pour, 91 contre et 46 abstentions (pour les ressortissants de pays tiers).
« Ce certificat sera délivré gratuitement par les autorités nationales: il sera disponible au format numérique ou papier et contiendra un code QR. Il attestera que son détenteur a été vacciné contre le coronavirus, qu’il a reçu récemment le résultat d’un test de dépistage négatif, ou qu’il s’est remis de l’infection », explique le Parlement.
En France, des QR-Code sont déjà disponibles pour les personnes vaccinées, qui peuvent l’importer dans l’application TousAntiCovid. Il sera remplacé par le système européen à partir du 23 juin, en prévision du lancement du pass européen le 1er juillet.
« Le texte devra à présent être formellement adopté par le Conseil et publié au Journal officiel, en vue de son entrée en vigueur immédiate et de son application à partir du 1er juillet 2021 », rappelle le Parlement.
Commentaires (8)
#1
Du coup, c’est un autre QR-Code avec un autre format et d’autres informations sur la version Européen ?
#2
#2.1
https://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/safe-covid-19-vaccines-europeans/eu-digital-covid-certificate_fr
Je crois que le QR est déjà celui qui sera utilisé pour le certificat européen vu qu’il ne sert qu’a valider.
Je ne parviens juste toujours pas à comprendre comment la signature numérique permet d’éviter la falsification si :
Je suppose qu’il y a quelque part un truc qui évite de juste copier le QR code, mais je ne sais pas quoi (si quelqu’un a la réponse je prends)
#3
Si tu calcules un hash en local des données personnelles (facile à faire), tu peux envoyer juste ce hash au serveur pour qu’il vérifie qu’il l’a bien dans sa liste de certificats valides. Si la même chose est faite au moment de l’émission du certificat (le serveur rajoute alors le hash à sa liste au lieu de rechercher dedans), le serveur ne stocke que les hash sans aucune donnée associée.
Changer les données personnelles sur le certificat modifiera le hash calculé en local, sans qu’il ne soit possible de modifier de manière à trouver le même hash qu’avant, et le serveur refusera ce nouveau hash parce qu’il ne sera pas dans sa liste.
Pour faire la vérification en offline, il faudrait que le terminal télécharge la liste de hash depuis le serveur. C’est pas impossible, ces hash ne sont pas privés, ça demande juste assez de stockage. Ou alors fonctionner un peu différemment, avec une paire de clés publiques/privées, il n’y a plus besoin que de stocker la clé publique.
Par hash, comprenez n’importe quelle opération de ce type, je ne suis pas expert en sécurité et donc je ne désigne pas un algorithme ou une méthode spécifique, je donne juste l’idée du truc. De même, si j’ai dit une connerie, corrigez-moi.
#3.1
Dans cet exemple : Le falsificateur n’a qu’a trouver un hash qui sera vérifié “OK”. Comme de copier celui de quelqu’un pour qui le QRcode est valide. En gros reprendre les données de celui-ci et. Puisqu’il suffit juste de l’imprimer ou de l’afficher… facile. On peut même fabriquer une appli mobile bidon qui ne présente qu’un seul écran repris d’autre chose…
Le contrôleur n’aurait pas de moyen de savoir que ce hash est bien celui de la personne.
Il y a peut être plus que cela.
#4
Et peut-on se vacciner et refuser d’être inscrit dans ce fichier ?
#5
Dans mon exemple, le hash n’a pas besoin d’être inscrit sur le document, il est calculé à chaque fois partir des données personnelles par le terminal de vérification. Le QR-Code ne contient qu’une représentation informatique des données inscrites juste au-dessus, dont on veut vérifier l’authenticité sans les transmettre telles quelles au serveur.
C’est comme ça que la question à laquelle j’ai répondu était posée, j’ai donné un exemple d’implémentation possible. Le débat de savoir si c’est une bonne chose ou non que le QR-Code contienne ces informations, ou de si c’est comme ça que c’est réellement fait sur ce certificat, est hors-sujet, ou alors j’ai mal compris la question.
#6
Ah oui, si jamais c’est sur ça qu’on s’est mal compris, il faut bien sûr que le contrôleur vérifie que les nom/prénom du QR-Code (suffisant je pense) correspond à la personne qu’il a en face de lui. Mais ça ne faisait pas non plus partie de la question posée, et de toute façon, aucune méthode informatique utilisable dans ce cadre ne pourra faire cette vérification, avec serveur distant ou non.