Depuis quelques jours, des liens circulaient ici ou là vers une photo prise par une agence de presse et affichée en illustration d'articles où l'on pouvait voir le passe sanitaire du Premier ministre.
Le code 2D-DOC y étant clairement lisible, on pouvait le scanner avec TousAntiCovid Vérif et, comme on pouvait s'y attendre, certains ont trouvé malin d'en exposer le contenu (dont des informations personnelles et médicales) sur les réseaux sociaux.
Depuis, l'image a bien entendu été retirée et les autorités prévenues. Éric Freyssinet a pour sa part rappelé que l'on peut « signaler tout vulnérabilité ou faille de sécurité découverte sur un SI français soit en prenant contact avec le gestionnaire du SI (ou alors via le bug bounty s'il y en a un), soit en contactant directement l'ANSSI ».
Cet épisode illustre bien le problème de stocker des informations sensibles de manière si facilement accessible à tous et partageables sous la forme d'un code pouvant être simplement pris en photo.
Commentaires (47)
#1
C’est bien de la part de M. Freyssinet de rappeler qu’on peut signaler des vulnérabilités, mais pour le 2D-Code, c’est pas une faille ou autre, c’est inhérent au format ouvert.
Pour le coup, je trouve dommage que les autorités n’aient pas choisi un format avec un minimum de chiffrement, car on n’a pas finit de voir fleurir les passe sanitaires des uns et des autres :/
#2
Oula.. tu voudrais donc un QR-code qui soit chiffrer ?
Sauf que tu dois inclure la clef de déchiffrement dans les applications qui vont être distribué au restaurateur, autrement dit à tout le monde..
Il fallait un QR-Code qui ne contienne pas toutes les infos, c’est tout.
#3
La version européenne empêche d’avoir ces informations là, mais pour autant avoir une photo du QR-code permet à des personnes de faire de “l’usurpation d’identité” en rentrant au ciné / resto / … avec celui de quelqu’un d’autre.
Sinon, ayant été dans d’autres pays d’Europe ces derniers jours, j’ai été étonné qu’ils s’en moque du QR-code, mais veulent voir les informations relative à la date de vaccination / test (négatif ou positif).
#4
Pour moi, c’est techniquement impossible sans devoir créer une usine à gaz coté matériel, logiciel et administratif. A moins de s’asseoir totalement sur le peu de vie privée qu’il nous reste.
#4.1
Autant je suis d’accord avec vous dans l’idée de l’affrontement à la loyale, autant aucun de nos hommes politiques ne fait concrètement rien pour lutter contre les fuites de données (volontaire ou non) et pour lourdement sanctionner ce qui ne respectent pas les lois et les moyens (coucou l’absence de hash sur les mots de passe) pour sécuriser les données, surtout celle sensible.
Donc si Mr Castex (ou un autre) se retrouve en place public ça peut mettre en mouvement leur masse de cellules grises dans le bon sens, c’est une bonne nouvelle. Et s’il faut en passer par là pour ses neuneus de l’informatique se bouge, tant pis pour eux !
Pourtant tout était là. Puisqu’il signe le QR code avec un clé asymétrique, ils peuvent également la chiffrer. L’application de vérification se chargerait juste de vérifier que la signature a été produite par une clé émanent de l’Etat. Cracker une clé asymétrique de type elliptique nécessite 1. Une puissance de calculs considérables et donc inaccessible aux communs des mortels 2. L’aide d’une agence de renseignements (genre NSA), ce qui est encore hors de portée du commun des mortels.
Donc je suis pas vraiment d’accord, ça aurait été possible de le faire en respectant la vie privée des citoyens. Le problème n’est pas technique, il est purement gestion/management de projets.
#4.2
Négatif capitaine, en chiffrement asymétrique, chiffrer se fait avec la clé publique du correspondant. Ce qui signifie que:
Il y a techniquement deux autres solutions:
ou
#4.3
Non, positif capitaine : Une signature électronique ce fait en chiffrent le hash avec la clef privée du signataire (tous anti covid), et les terminaux ont la clef publique pour vérifier la signature.
igital_Signature_diagram_fr.svg" target="_blank">https://fr.wikipedia.org/wiki/Signature_num%C3%A9rique#/media/Fichier
igital_Signature_diagram_fr.svg
#4.4
Il ne parle pas de signature mais de chiffrement de données.
#4.6
Ce que tu dis est tout à fait vrai, mais on parle ici de chiffer le QRcode afin qu’un leak ne soit pas préjudiciable pour le porteur. Genre Castex qui s’est fait prendre son passe en photo.
On va dire que j’ai de bonnes notions, et je ne pense pas que ce soit techniquement possible, surtout quand on part du principe que le message est transporté via un bout de papier qu’on ne peut pas mettre à jour facilement.
#4.5
Je me suis un peu embrouillé, merci pour les corrections et les détails !
En fait, ne pourrait-on pas faire quelque chose :
Ainsi les restaurateurs, les gérants de salles de cinémas et autres peuvent s’assurer que le “parcours vaccinal” est conforme (mais pas l’identité). En cas de contrôle afin de vérifier l’identité et le statut vaccinal (comme dans un aéroport [Enfin en France en tout cas]), une application fourni par l’Etat qui dispose de la clé privée afin de pouvoir déchiffrer les données.
En réalité, c’est l’aspect “contre-nature” du 1. qui m’intéresse de débattre.
Alors certes ça immunise au risque de la falsification mais de pas de la subtilisation. Mais c’est un bon garant de la vie privée des citoyens. Évidemment ce n’est pas la panacée, mais en tout cas mieux que ce truc qui permet à quiconque avec un neurone de plus que la moyenne d’avoir des infos de santé sur une personne donnée.
Inutile de le relancer le sujet sur le Pass Sanitaire et l’idée ci-dessus n’aurait pas immunisé Mr Castex à la subtilisation. Ici c’est clairement lui le coupable d’avoir montré à tous ce pass. (C’est pour moi équivalent à diffuser sur sa page FB sa carte d’identité ou son passeport en clair… Faut pas être très futé ni conscient).
#4.7
On touche un peu au limite de mes connaissances, donc ne pas hésiter à corriger ce que je dis si quelqu’un connait mieux que moi le sujet.
En cryptographie:
De part ce postulat, d’un sens ou d’un autre, c’est pareil mathématiquement, on revient toujours au même point: pour que le qrcode soit chiffré sur le papier imprimé, l’équipement vérifieur doit avoir une clé privée.
Et donc le problème revient simplement à: “comment gérer la confiance dans cette clé privée?”.
Je ne vois que 2 possibilités, raisonnablement impossible à mettre en œuvre techniquement.
1/ Si c’est une unique clé partagée entre tous les équipements vérifieurs, le niveau de sécurité de la clé correspond au niveau de sécurité le plus pourri de la chaine de confiance. La chaine de confiance étant l’ensemble des terminaux vérifieurs, à savoir, le téléphone de n’importe qui. Donc un niveau de confiance égal à 0.
2/ Si c’est une clé unique par équipement vérifieur, alors un système d’enrollment type pki, mais totalement inapplicable pour les raisons que j’ai données dans le précédent commentaire (QRcode long comme un dico, et révocation/réimpréssion de tous les QRcode à chaque ajout/suppression d’équipement vérifieur)
#4.8
Je vois merci.
#5
On peut apprécier ou non quelqu’un comme Castex, que ce soit la personne ou ce qu’il fait. Moi-même, je le porte pas spécialement dans mon cœur de par sa participation à la clique de Manu Ier le Micron. Mais personnellement, même s’il a singulièrement manqué de vigilance, je préférerais qu’on s’oppose à lui à la loyale, et pas de manière aussi minable en s’amusant ainsi à exposer publiquement ses données médicales personnelles.
#6
Je me disais aussi que c’était bizarre que le premier ministre mange dans le MacDo d’à coté 63 fois par jour…
#6.1
Ben quoi? Il avait juste très faim.
#7
J’avais cru comprendre que la version européenne (ci-après v2) du qr code lié à la vaccination chiffrait (ou ne contenait pas) les informations au contraire de la première version purement française (v1) .
Étant vacciné et disposant du qr code sous les 2 versions, en scannant la v1 avec un lecteur standard, les informations de santé sont directement lisibles au contraire de la v2.
Est-il possible de récupérer les informations de santé directement du qr v2 ?
Pour le fonctionnement de tousanticovid verif j’avais cru comprendre qu’il fonctionnait sans avoir à vérifier les informations de santé, en gros, on obtiendrait en clair : nom, prénom, date de naissance, si le passe était bon ou pas. L’authenticité du passe utilise une signature cryptographique (hashage puis chiffrement par clé privé pour vérifier qu’il n’est pas falsifié). L’application charge également régulièrement une base de données contenant la ou les clés publiques de vérification, et les passes qui ont été invalidés car utilisés frauduleusement ou divulgués comme celui de castex.
Il est possible de récupérer le qr de quelqu’un et de créer son document avec son nom, prénom et date de naissance, mais ces informations étant lues depuis le qr et affichés sur verif, on peut voir la différence.
Un contrôle devrait normalement scanner le qr, vérifier sa validité, et confirmer que la personne a qui appartient le qr, identité affichée sur l’application, est bien celle qui le présente en vérifiant son identité avec une pièce d’identité avec photo (CNI, passeport, permis de conduire, ou tout autre pièce acceptée).
Un mode purement déconnecté de vérification nous est promis, c’est à dire que l’information que tel passe a été scanné n’est pas enregistrée et centralisée, mais j’ai du mal à faire confiance à l’état là dessus.
La diffusion du code source n’est pas exemplaire (diffusion en retard avec commits squashés), il a été révélé que les logs de scans étaient envoyés au serveur dans un but d’“analyse technique” (mais totalement exploitable, il est possible de désactiver cette remontée maintenant), et surtout, quel état passerai à côté d’une telle source d’information pour la “sécurité”.
J’aimerais donc que soit disponible une version équivalente de vérif, mais open-source et buildable pour pouvoir être sideloadée et savoir qu’elle n’est pas un outil de surveillance de plus.
#7.1
Je pense que les info sont codées, et non chiffrées, cf. https://danstonpass.fr/comment-ca-marche.
Par contre, je ne sais pas si mon lien parle bien de v1 FR ou v2 Européenne.
EDIT : formulation !
#8
J’ai quand même un peu de mal avec cette notion de donnée médicale concernant un vaccin. Dans de nombreux métiers et à diverses occasions dans la vie, il faut justifier d’un statut vaccinal qui passe par la diffusion du carnet de vaccination. Je ne vois pas en quoi recevoir un vaccin informe en quoi que ce soit sur l’état de santé d’une personne.
#8.1
De plus en plus de gens ont «un peu de mal» avec le concept de vie privée en général.
Le «statut vaccinal» renseigne au moins sur son état de docilité…
#8.3
Que le dit certificat soit trop baveux est une chose mais sur le principe même de la déclaration de statut vaccinal. C’est une question que je me pose au delà du vaccin covid.
La question n’est pas là.
#8.2
Ça permet de savoir si tu l’as choppé (besoin d’une dose) ou si tu es immunodéprimé (3 doses).
Au niveau des données informatiques et des droits de sécurité, on m’a appris qu’il fallait avoir le minimum nécessaire pour un but donné. Là c’était possible d’avoir l’info « ok » signée numériquement.
https://www.nextinpact.com/article/46153/pass-sanitaire-poudre-aux-yeux-pseudonymat-donnees-medicales-en-clair
#8.4
oui mais non. En ayant le nombre de doses (ou pas de dose, un simple test négatif donne aussi droit à un QR Code, valable moins longtemps) on peut moduler le fonctionnement de l’application de vérification. Si demain on estime qu’il faut 3 doses, on peut sans invalider les pass existants pour les personnes qui ont effectivement 3 doses invalider d’un coup tous les QR Codes à 2 doses.
On veut ajouter un autre vaccin après-demain ? On peut, il suffit de changer l’appli de vérif. Un simple “ok / ko” ne donne pas cette souplesse. D’autant moins qu’un ok / ko a besoin d’une date de fin (72h je crois s’il est obtenu via un test, durée inconnue après un vaccin)…
#9
Bien joué les journalistes !
#10
Ouais, on pourrait très bien faire comme Michel mais en inscrivant sa vaccination :
https://youtu.be/MXYBYciizHA
#11
Ou ton QI … au choix
Sauf que 3 doses ne permettent pas de savoir si ton immunosuppression est permanente ou pas (traitement temporaire).
Avoir chopé un virus est une information médicale ? Un nombre non négligeable de personnes ne sont même pas au courant qu’ils l’ont eu.
#11.1
C’est une information personnelle que tout le monde n’a pas envie de partager avec n’importe qui.
#12
Pour ceux qui comme moi se demandent d’où vient cette photo.
#12.1
Ils feraient bien de lire l’article, c’est litéralement la première phrase
#12.2
J’ai compris avec l’article de LIbé et pas avec votre première phrase alors que j’avais relu la brève pour essayer de comprendre d’où venait la fuite.
D’autant plus que la citation d’Éric Freyssinet ne m’a pas aidé à comprendre le contexte en parlant de “vulnérabilité ou faille de sécurité découverte sur un SI français”.
#13
l’arroseur arrosé , j’aime ce principe surtout peu ceux qui n’ont cure des citoyens
#14
Et comme il y a une liste noire, il doit désormais y être! Par contre, je ne suis pas certain qu’il va être désormais refoulé pour prendre l’avion ou autre, comme n’importe quel pékin à qui la même mésaventure arriverait.
De toutes manière, je n’ai pour ma part jamais utilisé le mien: Je refuse d’installer leur appli et quand on présente le QR-code scanné/reproduit, ce qui devrait suffire, personne ne veut le lire si cela ne sort pas de leur appli de merde et on demande le papier que je n’ai pas sur moi.
Je ne vais en conséquence plus là ou le pass est nécessaire tant que durera cette foire.
#14.1
je n’ai pas installé l’appli, la plupart du temps je montre un screenshot d’un scan du papier pour ma femme et moi, ou dans les endroits où je n’ai pas envie d’emmener mon téléphone (piscine, par exemple) une impression du code seul. Ça fonctionne très bien, personne ne m’a jamais refoulé pour cette raison.
#15
Tu parles pourtant toi-même de la solution : il suffit d’avoir le papier. Tu le ranges avec ta carte d’identité, de façon à l’avoir sur toi, et zou, pas d’appli moucharde, et pourtant tu as le passe sanitaire. C’est ce que je fais.
#16
Comme une carte nationale d’identité ou un permis de conduire. Documents qui ne nécessitent aucun dispositif technique supplémentaire en dehors d’une paire d’yeux.
#16.1
Avec trois différences à l’usage :
Une personne normalement constituée ne montre pas sa carte d’identité ou son permis de conduire à tout va. (Je parie que Mr Castex n’aurait pas montré son passeport ou sa carte d’identité comme ça).
La carte d’identité et le permis conduire sont sous format d’une carte physique et non d’un QR code que l’on imprime/stocke n’importe où et n’importe comment.
La falsification à partir d’une photo demande des compétences et en cas d’abus avéré lors de la présentation des dit documents ça va plus loin que le serveur qui refuse l’entrée au bar/restaurant…
Il me semble que le QR code a été présenté comme un trophée de jeux (sportif, Steam…) et non comme un document administratif “sensible” au même titre qu’une carte d’identité, un passeport ou un permis de conduire. Et le problème est là, peu de gens ont conscience de l’aspect sensible de ce document qui doit être traité avec précaution.
Peut-être que s’il était disponible sous forme d’une carte (façon carte Vitale), le comportement en aurait été différent.
#16.3
Sans aller jusqu’à la falsification (je n’ai jamais évoqué ça, ni la partie de l’article à laquelle je régissais), ce sont des documents qui exposent plus de données personnelles que le QR Code du passe sanitaire. Pouvant eux aussi être facilement pris en photo et lus lorsque utilisés.
Le problème n’est donc pas lié au document mais à la façon dont les gens s’en servent au final. D’où ma réaction à ce passage qui disait que le problème est le document.
#16.2
Ce qu’a indiqué BlackLightning + un certain nombre de mécanismes anti-fraude dans la carte d’identité (celle avant le format carte de crédit, en tout cas) en utilisant les infrarouges (vaguement visible à l’œil nu si on sait quoi chercher) ou les ultra-violet (visible avec un pauvre porte-clé à DEL « lumière-noire » à 2 $ chez AliExpress) ou encore en changeant l’angle de vue (comme pour les billets de banque).
Le problème est qu’absolument aucun de ces mécanismes ne peut être présent dans le passe sanitaire puisqu’il faut que n’importe qui puisse imprimer son propre passe.
#17
Le papier va durer 1 semaine dans ma poche avant d’être illisible… et je n’ai presque jamais ma CI sur moi non plus: Trop pénible à faire refaire en cas de perte/vol + payant quand ce fut autrefois gratuit.
Puis, au fond, comme pas mal de monde ça me fait chier ce pass. Mon tél je l’ai sur moi et le format des actuels ne laisse plus de place pour le reste: Pourquoi pas me proposer un sac à mains tant que tu y es!
#17.1
Non, je propose un truc encore plus novateur : un portefeuille.
#17.2
Ou un sac banane
#17.3
Moi, j’ai réglé la question ainsi : après avoir récupéré la version PDF (depuis mon compte Améli, que tout le monde n’a pas forcément, certes), je l’ai stockée sur mon spyphone et je n’ai qu’à ouvrir le fichier (en zoomant pour ne laisser visible que le QR Code). Testé une fois pour un repas d’anniversaire il y a un mois, ça marche bien.
#18
.
#19
En tant que naïf j’ai tenté de lancer la discussion plusieurs fois sur reddit : how to validate secured statement on hidden values
Je n’ai pas vraiment eu de retour positif (mon anglais épouvantable n’aide pas non plus)
Ma conclusion est qu’il n’est pas possible d’empêcher de laisser fuiter des informations car si on peut faire plusieurs test (en changeant les dates par exemple) on pourra déduire de choses.
J’avais espéré que Zk-snarks pourrait résoudre le problème suivant : l’autorité de vaccination/test fourni les données du schéma vaccinale sous une forme cachée (chiffrée ou hashée mais non déchiffrable par le vérificateur).
L’autorité de vérification établit un circuit qui valide les données (sans les déchiffrer) et fourni ces circuits aux vérificateurs.
Mais d’après ce que j’ai compris, les systèmes de preuves nulles de divulgation de connaissances ne fonctionne pas comme cela.
Le problème est que la preuve est liée à la fonction de vérification, donc si les conditions de validité du passe changent, il faudrait régénérer tous les passes.
Cela m’amène vers un système de calcul inconscient qui semble impraticable en dehors de moyens de calcul totalement opaque et sécurisé, ce qui n’existe pas.
Après, il est très probablement possible d’obtenir ce résultat de façon astucieuse dans ce cas particulier.
#20
Tu peux aussi ne faire le zoom qu’une fois : juste avant de prendre une capture d’écran du code
Du coup t’as juste à montrer la capture, et aucun risque de montrer autre chose du document par inadvertance le temps de zoomer ;)
#20.1
Pour faire plus simple, tu mets le code QR seul en pleine page en fond d’écran d’accueil du téléphone (par contre c’est moche).
#21
Ca ne règle en rien le problème : dès que tu montres ton QR code, tu exposes entièrement ton parcours immunitaire et tu n’as plus aucun contrôle sur ce que deviennent ces informations.
Sachant qu’en plus d’être capté par la caméra du vérificateur dernière laquelle tu ne peux savoir quelle application tourne, il peut être aussi capté par d’autres caméra.
Mais bon je n’ai aucune idée pour faire une vraie sécurisation.
#22
Sinon, il y a le scan de QR code qui t’en fait une copie parfaite… Ce que j’ai fait et qui ne règle en rien le pb des gens qui n’ont pas de quoi lire/vérifier un QR code ou ne veulent pas utiliser leur tél perso pour cela, ce qui est souvent le cas et pose déjà un fameux pb vu les données encodées dans ce QR code: La copie est instantanée et rien ne dit qu’elle n’est pas conservée par n’importe qui placé dans le rôle du physionomiste de la boite de nuit généralisée.