L’attestation numérique respecte-t-elle vos données personnelles ? Voici les éléments que nous avons

Devez-vous utiliser cette attestation numérique ?

 

Faut-il faire confiance à l'attestation numérique ? Vous êtes beaucoup à douter du respect de vos données privées, nous avons donc vérifié chaque étape du processus. De la génération de l'attestation numérique à sa vérification par des gendarmes ou policiers.

Comme vous le savez, le ministre de l’Intérieur a mis en place une attestation dérogatoire dématérialisée. Elle complète le dispositif actuel, des attestations à remplir que vous trouverez ici.

Accéder au générateur d'attestation numérique

Le générateur d’attestation numérique

Pour créer une attestation numérique, le gouvernement a fait le choix d’un générateur d’attestation numérique. Plus concrètement, il s’agit d’un formulaire qui va générer le code QR à partir des informations que vous avez rentrées.

Voici les données du formulaire qui permettent de générer le code QR

Nous avons vérifié, la génération du formulaire se fait bel et bien en local, dans votre navigateur, sans partage des données vers des serveurs externes.

Le code QR généré

Le code QR généré est une base de donnée chiffrée qui contient l’ensemble des données que vous avez rempli dans le formulaire. Vous pouvez lire ce code avec n’importe quelle application de lecture de code QR. Vous pourrez ainsi vérifier les informations stockées dessus, y compris l’heure de création du formulaire et l’heure de sortie rentrée.

Une capture du PDF généré

Une capture du PDF généré avec le code QR

Voici les informations stockées dans notre code QR :

  • Crée le : 06/04/2020 a 10h12; Nom : Frandroid; Prenom : Frandroid; Naissance : 01/04/1986 a Internet; Adresse : 34 rue des Internet 88888 Internet; Sortie : 06/04/2020 a 09h50; Motifs : courses

Si vous lisez ce code avec votre smartphone, voici ce que vous pourrez récupérer :

Exemple avec la lecture depuis un smartphone

La lecture du code QR

La lecture des informations du code QR se fait depuis une application nommée CovidReader, un lecteur de code QR relativement simple développé par le ST(SI)2 (service des technologies et des systèmes d’information de la Sécurité intérieure) et distribué sur la version F-Droid de la gendarmerie. Un store spécifiquement conçu pour distribuer les applications Android validées pour la police et la gendarmerie.

Les captures de l’application CovidReader / Source : iGen

D’après ce que nous savons, CovidReader lit le QR Code, affiche les informations ou renvoie une erreur si une information est manquante, ce qui permet très simplement à un policier ou à un gendarme de connaître le statut de l’attestation. Selon le ministère, aucun lien n’est établi entre les éléments d’identité et l’application messagerie tactique pour le contrôle au FPR (le fichier de personnes recherchées). Aucun lien ne permet de passer la personne sur ADOC en cas d’infraction.

Nous n’avons néanmoins pas pu nous procurer l’application, elle est uniquement disponible sur le Néogend dont les gendarmes et les policiers disposent, un smartphone Android modifié et sécurisé. Il s’agit de smartphones Sony (smartphones Xperia X ou tablettes Xperia Z4) qui fonctionnent sous une version Android modifiée baptisée Secdroid (pour Sécurité et Android). Les Néogend sont très surveillés grâce à un système de gestion de droits (DRM), le ministère de l’Intérieur peut savoir si un fichier APK, par exemple, a été exporté par un utilisateur.

Selon les dires du ministre de l’Intérieur, l’application n’enregistre pas les données automatiquement dans l’application dédiée (Messagerie Tactique / FPR). Ce sont les gendarmes et policiers qui doivent inscrire manuellement ces données, comme ils le font déjà lorsqu’ils contrôlent l’attestation papier et l’identité d’une personne. À ce moment-là, il vérifie également si l’individu qu’il contrôle n’est pas inscrit au fichier de personnes recherchées (FPR).

Contacté par Numerama, le ministère de l’Intérieur garantit que : « aucune donnée n’est conservée ou enregistrée sur un quelconque serveur. Aucune trace non plus en local sur les tablettes / smartphone Néo dont sont équipés les policiers et gendarmes ». Une association de gendarmerie confirme l’information et déplore que l’application ne soit pas plus simple à utiliser, y compris pour calculer la distance entre le lieu du contrôle et l’adresse postale de la personne contrôlée :

Un lien entre ces 4 fonctionnalités, tout à fait possible techniquement, réduirait considérablement la durée du contrôle et éviterait d’exposer inutilement les personnes tout en facilitant le travail du gendarme déjà très sollicité.

Nous avons échangé avec un spécialiste français de la sécurité informatique, Baptiste Robert, surnommé Elliot Alderson en référence au héros de la série Mr. Robot.

Selon Elliot Alderson, « la génération du PDF est propre, on télécharge le PDF vierge, ça remplit les informations en local. Rien n’est envoyé sur les serveurs du ministère. La grosse inconnue est l’application lorsque l’on scanne le code QR. Soit c’est un simple lecteur de code QR, l’hypothèse la plus probable. La deuxième possibilité est sur le traitement des données, ça aurait du sens dans le dispositif, car il y a des sanctions en cas de récidive. Mais ça n’a pas l’air d’être le cas, cette version de CovidReader ne semble pas le faire ».

Une nouvelle version de l’application pourrait être développée pour une analyse de données plus poussées et pour simplifier le travail de la police et de la gendarmerie. Le ministère de l’Intérieur pourrait aussi aller plus loin en distribuant le code source de l’application CovidReader dans un souci de transparence. Mais ça n’est pas dans l’habitude du ministère de l’Intérieur, il est donc peu probable que cela soit fait.

Pour Elliot Alderson, « ça semble clean », néanmoins son conseil est de continuer à utiliser le papier : « Le papier est toujours mieux que le numérique pour éviter de se faire tracer ». Au moins, vous avez le choix.

Les derniers articles