Le Pass Sanitaire peut-il donner lieu à de graves détournements de données personnelles, notamment à l’occasion d’un piratage ? Des employés malveillants pourraient-ils en faire un mauvais usage, comme les revendre, ou les modifier, pour laisser partir une relation qui n’aurait pas un pass sanitaire en règle ? Oui, selon les services d’Olivier Véran, ce risque est très vraisemblable, et peut nuire gravement aux détenteurs de ce fameux pass. Mais cet aveu n’a pas fait trembler la main de la CNIL, ni celle du Conseil d’Etat, qui ont tous fermé les yeux sur les défauts du système et l’ont jugé respectueux des données personnelles. Encore un beau flash totalitaire dans ce pays.
Analyse d’impact du pass sanitaire par le gouvernement from Société Tripalio
Les données personnelles collectées par le pass sanitaire sont-elles en danger ? Oui, et cette affirmation ne vient ni d’un site complotiste, ni d’une source russe ou chinoise. Elle vient du ministère de la Santé et d’Olivier Véran lui-même, qui ont fait savoir au Conseil d’Etat combien le risque était grand de voir ces données tomber du camion (du cloud, pardon) sans que personne n’y puisse mais. C’est à la Quadrature du Net que nous devons ce document tonitruant, qui en dit long sur l’imposture de la « protection » des citoyens par l’Etat au travers des dispositifs de traçage qui se multiplient durant cette pandémie.
Pourquoi Véran a avoué ces faiblesses
La Quadrature du Net a saisi le Conseil d’Etat en référé-liberté contre les risques liberticides du pass sanitaire, notamment les risques avérés de détournement des données personnelles (sur lesquelles nous reviendrons demain dans un autre article). Si la Quadrature a perdu son référé (de façon si prévisible et « téléphonée » que le Conseil d’Etat semble s’être assez peu préoccupé de garder les apparences d’une justice impartiale), la procédure lui a toutefois permis de mettre la main sur un document dont la valeur est essentielle : l’analyse d’impact diligentée par Jérôme Salamon, directeur de la santé bien connu, dit tout du fonctionnement du pass sanitaire, y compris des risques qu’il présente.
Quels risques pour le pass sanitaire ?
L’analyse de risque (mise au singulier dans le document, mais nous allons voir que le pluriel s’impose) est particulièrement éloquente. Nous la restituons en totalité ici :
Cette analyse porte sur l’utilisation du module Carnet de l’application TousAntiCovid, l’application TousAntiCovid Verif et le
convertisseur 2D-Doc / DCC
.
Les différents risques sont les suivants :
• Accès illégitimes aux données concernées
o Impact sur les personnes
Utilisation des informations relatives à l’identité et aux données de santé (elles permettent de savoir que la personne concernée a réalisé des tests, a eu la Covid-19, a été vaccinée par une marque de Vaccin)
Diffusion de données hors du périmètre prévu
o Menaces permettant réalisation du risque
espionnage des communications entre appli et serveur IN Groupe
intrusion dans serveur central IN Groupe
intrusion dans le smartphone (cheval de Troie permettant de s’introduire dans appli)
accès interne au serveur
interception des informations coté serveur central
Compromission de la clé de conversion
Fausse application TousAntoCovidVerif qui ne fait que lire les données, les enregistrent et les envoie vers un autre serveur, ou les stocke en local sur une mémoire flash.
o Sources de risque
Personnel interne ayant accès au système
Pirate informatique
o Mesures contribuant à traiter ou limiter le risque
Cloisonnement
Sécurisation des canaux informatiques
Sécurisation matérielle
Contrôle des accès logiques
Journalisation
Gestion des postes de travail IN Groupe
Gestion des postes de travail IN
Sécurité physique
Traçabilité
Éloignement des sources de risque
Gestion des personnels
Gestion des mots de passe
Exploitation
Authentification
Gestion des tiers accédant
Organisation de la politique de protection de la vie privé
o Gravité du risque pour les personnes (négligeable / limité / Important / Maximale)
Important
o Vraisemblance du risque
Importante
o Plan d’action
Passage de l’application en mode offline
o Révision des échelles de gravité et vraisemblance
Gravité reste: importante
La vraisemblance du risque devient limitée
Source du risque est la défaillance ou attaque interne
• Modification non désirée des données
o Impact sur les personnes concernées
Porter atteinte à liberté de mouvement en ne permettant pas l’accès à un évènement, à un moyen de transport…
Risque sanitaire en permettant par exemple à un voyageur de se rendre dans un pays alors qu’il est contaminé à la Covid-19
o Menaces permettant réalisation du risque
espionnage des communications entre appli et serveur central d’IN Groupe
intrusion dans serveur central d’IN Groupe
intrusion dans le smartphone (cheval de Troie permettant de s’introduire dans application TAC Verif)
accès interne au serveur
interception des informations coté serveur central d’IN Groupe
Cheval de Troie embarqué dans 2D-Doc
Compromission de la clé de conversion
o Sources de risque
Personnel interne ayant accès au système
Pirate informatique
o Mesures contribuant à traiter ou limiter le risque
Cloisonnement
Sécurisation des canaux informatiques
Sécurisation matériel
Contrôle des accès logiques
Journalisation
Gestion des postes de travail d’IN Groupe
Sécurité physique
Traçabilité
Éloignement des sources de risque
Gestion des personnels
Gestion des mots de passe
Exploitation
Authentification
Gestion des tiers accédant au SI
Organisation de la politique de protection de la vie privé
Analyse du certificat papier
o Gravité du risque pour les personnes (négligeable / limité / Important / Maximale
Important
o Vraisemblance du risque
Importante
o Plan d’action
Passage de l’application en mode offline
o Révision des échelles de gravité et vraisemblance
Gravité reste: importante
La vraisemblance du risque devient limitée
Source du risque est la défaillance ou attaque interne
• Disparition des données
o Impact sur les personnes concernées
Impossibilité d’utiliser l’application TAC Verif
Porter atteinte à liberté de mouvement en ne permettant pas l’accès à un évènement, à un moyen de transport…
Retards
Risque sanitaire en permettant par exemple à un voyageur de se rendre dans un pays alors qu’il est contaminé à la Covid-19
o Menaces permettant réalisation du risque
indisponibilité des services et des serveurs sur le serveur central d’IN Groupe
o Mesures contribuant à traiter ou limiter le risque
Redondance des serveurs et des services au niveau du serveur central d’IN Groupe
Les données ne sont pas stockées sur le serveur central d’IN Groupe
o Gravité du risque pour les personnes (négligeable / limité / Important / Maximale
Important
o Vraisemblance du risque
Importante
o Plan d’action
Passage de l’application en mode offline
Bref, on notera que, à tous les étages, la vraisemblance du risque est jugée importante. On peut en conclure que le ministère de la Santé s’attend à un piratage en règle des données de l’application qui sert à établir des pass sanitaires. Mais c’est visiblement un tabou d’en parler.
On ne pourra en tout cas pas dire qu’on ne savait pas : entre le vol des données, l’effacement des données ou leur modification pour avantager ou pour nuire à telle ou telle personne, le pass sanitaire ressemble à une passoire qui n’inspire aucune confiance au gouvernement lui-même.
