Contrairement à ce que l’on peut penser, cette application de vérification envoie toutes les données médicales contenues dans les 2D-DOC à un serveur central. Ces données transitent par ailleurs en clair par une société américaine.
À première vue, il n’y a pas lieu de s’inquiéter quand on montrera son carnet de tests et de vaccinations à l’aéroport ou à l’entrée d’une salle de spectacle. Car l’application TousAntiCovid Verif (TACV), qui sera utilisée pour vérifier la validité d’un test ou d’un certificat de vaccination ou de rétablissement, ne permet « qu’un affichage des informations contenues dans le 2D-DOC. Aucun transfert ou partage n’est réalisé lors du contrôle », comme on peut le lire dans un document relatif à la confidentialité des données de cette application, dont l’auteur est IN Groupe, autrement dit l’Imprimerie nationale.
En lisant cette phrase, on a l’impression que cette vérification se passe entièrement en local sur le smartphone du contrôleur d’accès, ce qui n’est pas vrai.
Plusieurs hackers ont analysé le comportement de cette application et ont découvert que cette vérification se faisait en réalité à distance. « Tout le contenu du 2D-DOC est envoyé vers un serveur d’IN Groupe qui renvoie le résultat de la vérification », nous explique « GilbsGilbs », un développeur passionné par la rétro-ingénierie.
Il a même vérifié ce transfert d’information de deux façons différentes : par une décompilation de l’application et par une attaque de type de « Man in the middle ».
Tous les 2D-DOC qui seront testés par TACV seront donc partagés avec IN Groupe. Certes, cette société souligne qu’il n’y a « aucun enregistrement ni aucun stockage », mais cette phrase ne concerne peut-être que l’application mobile, pas le serveur sous-jacent. Ce n’est pas très clair. Lire la suite >>
Source : 01net