TousAntiCovid Verif : le pass sanitaire arrive, 5 questions pour tout comprendre

En attendant l'entrée en vigueur, le 1er juillet, du pass sanitaire européen, la France lance son propre pass sanitaire, utilisable dès ce mercredi 9 juin. Il est indispensable pour voyager en Corse et dans les Outre-Mer et pour accéder aux événements accueillant plus de 1.000 personnes. La Tribune fait le point.
Sylvain Rolland

9 mn

(Crédits : DR)

Nouvelle étape dans le déconfinement. Ce mercredi 9 juin, la France lance son propre pass sanitaire, trois semaines avant celui de l'Union européenne. Deuxième phase du déconfinement, il fait partie d'un ensemble de mesures d'allégement des contraintes sanitaires qui entrent en vigueur dès mercredi, parmi lesquelles le repoussement du couvre-feu de 21h à 23h, la possibilité de déjeuner à l'intérieur des bars et restaurants, ou encore la réouverture des salles de sport, casinos, parc d'attraction et thalassos. La jauge passe également de 35% à 65% dans les cinémas, théâtres et musées.

Lire aussi 3 mnStopCovid/TousAntiCovid : Anticor porte plainte contre Olivier Véran pour "favoritisme"

  • Le pass sanitaire, c'est quoi ?

Le pass sanitaire permet à n'importe quel citoyen de présenter une preuve de son statut sanitaire. Il comprend trois types de preuves : un certificat de test négatif de moins de 48h ou 72 heures, un certificat de test positif d'au moins 15 jours et de moins de 6 mois, ou un certificat de vaccination.

Le pass sanitaire est indispensable pour toutes les personnes de plus de 11 ans pour deux choses : voyager hors de l'Hexagone mais toujours en France -vers la Corse et les Outre-Mer et inversement-, et participer à des événements accueillant 1.000 personnes ou plus. Pour les événements, il vient en complément des mesures sanitaires déjà en vigueur et propres à chaque secteur, et permet de mettre en place des jauges de 5 000 personnes jusqu'au 30 juin, date prévue du déconfinement total si la situation sanitaire le permet. Le Festival de Cannes, le festival d'Angoulême, les matches de Ligue 2 et Ligue 1 en août, les festivals musicaux d'été comme les Vieilles Charrues, entre autres, sont concernés.

En revanche, le pass sanitaire n'est pas nécessaire pour les activités quotidiennes comme aller au travail, au restaurant, faire ses courses, aller à la piscine ou au cinéma.

Il ne concerne que le public accueilli de plus de 11 ans, y compris les touristes étrangers, mais pas les salariés, organisateurs ou professionnels se produisant dans les lieux ou évènements où le Passe sanitaire est obligatoire.

Lire aussi Accord sur le pass sanitaire européen qui devrait être mis en place le 1er juillet

  • Comment ça marche ?

Chacun des certificats -de test PCR ou de vaccination- est encodé sous une forme de QR Code, que le citoyen peut présenter via l'application TousAntiCovid Verif, une nouvelle application gratuite sur Android et l'App Store, indépendante de TousAntiCovid. Il est toujours possible de stocker les preuves de vaccination ou de PCR sur TousAntiCovid Carnet, la fonction de stockage de documents de l'application de contact tracing. Une attestation papier, du moment qu'elle contient le QR code, peut également se substituer au numérique car un quart des Français n'ont pas de téléphone portable.

Une fois le QR Code flashé, la personne habilitée verra s'afficher le nom, le prénom et la date de naissance de la personne contrôlée, ainsi qu'une mention « valide/invalide », ce qui indique si la personne peut ou non effectuer son voyage ou participer à l'événement. Un justificatif d'identité doit également être fourni.

Lire aussi 2 mnStopCovid : le PNF a ouvert en septembre une enquête sur des soupçons de "favoritisme"

  • Quels sont les types de preuves valables ?

Pour le certificat de vaccination, il est possible de le récupérer auprès du professionnel de santé qui a effectué l'acte. Ce certificat peut également être téléchargé sur le portail https://attestation-vaccin.ameli.fr de l'Assurance Maladie, dont l'accès se fait avec les identifiants Ameli ou une connexion France Connect. Le certificat doit afficher un schéma de vaccination complet : pour le vaccin Johnson & Johnson, il est valide au bout de 4 semaines après l'unique injection. Pour les vaccins à deux injections (Pfizer, Moderna, AstraZeneca), il est valide à partir de deux semaines après la deuxième injection. Pour les personnes ayant eu la Covid-19, à partir de deux semaines après la seule injection.

Pour les tests, il est possible de présenter des tests RT-PCR et antigéniques, sous réserve qu'ils soient certifiés avec un QR Code lisible par l'application TousAntiCovid Verif.

"En revanche, les résultats des autotests seront refusés car leurs conditions de réalisation non supervisées par un professionnel de santé ne garantissent ni la fiabilité de leur résultat, ni celle de l'identité du détenteur du pass", précise le cabinet de Cédric O, le secrétaire d'Etat à la Transition numérique et aux communications électroniques.

Le test doit dater de moins de 48h pour l'accès aux grands événements concernés, et de maximum 72h pour le contrôle sanitaire aux frontières.

Pour que l'application délivre une autorisation de voyage ou d'accès à un événement, il faut que le certificat de test positif date d'au moins 15 jours et de moins de 6 mois, ce qui prouve que la personne n'est plus malade mais immunisée. Seuls les résultats des tests RT-PCR et des tests antigéniques certifiés avec QR Code sont admis.

Lire aussi 3 mnUne dose Pfizer, une seconde du Moderna ? La France lance un essai sur l'interchangeabilité des vaccins anti Covid-19

  • Quelle articulation avec le futur "certificat vert européen" disponible le 1er juillet ?

"Les deux seront compatibles car la conversion du code français au standard européen se fera automatiquement dès le 21 juin", indique Cédric O. Depuis le 17 mars, l'Union européenne œuvre à la mise en place d'un « certificat vert numérique », dont l'objectif est de faciliter la libre circulation des personnes au sein de l'Union. Afin de rendre les systèmes mis en place par les Etats membres interopérables, elle travaille au développement d'une approche commune pour la délivrance, la vérification et l'acceptation des certificats de preuve, qui devrait être déployée en juillet.

En France, les preuves délivrées par d'autres Etats membres seront lisibles via TousAntiCovid Verif dès la fin du mois de juin, ou début juillet en fonction de l'état d'avancement des différents pays, promet le cabinet de Cédric O.

Lire aussi 4 mn"Pass sanitaire", sortie de l'état d'urgence... le Sénat approuve le texte après l'avoir bien remanié

  • Quid des données personnelles ?

Si les personnes chargées de vérifier le pass sanitaire ne voient, selon Cédric O, "qu'un statut rouge ou vert, donc n'ont accès à aucune donnée sensible", l'application TousAntiCovid Verif contient des données de santé. Le Conseil constitutionnel le 31 mai, puis la Commission nationale informatique et libertés (CNIL) le 8 juin, ont validé le projet de pass sanitaire, et donc le transfert des données de santé qu'il contient vers le Système national de données de santé (SNDS). On y trouve le sexe, le mois et l'année de naissance, le rang de naissance et le lieu de résidence, ainsi que les maladies contractées, mais pas le nom des patients, ni leur adresse.

Mais plusieurs hackers, spécialisés dans l'analyse du fonctionnement des applications et la recherche de vulnérabilités, ont soulevé des zones d'ombres qui contredisent le discours officiel. Notamment un développeur connu sur Twitter sous le pseudo Gilbsgilbs, qui a publié un thread alarmant suite à son analyse de la nouvelle application, qu'il juge "inquiétante" :

Je viens d'inspecter un peu la nouvelle application officielle permettant de vérifier l'authenticité des certificats de vaccination français : TousAntiCovid Verif (https://t.co/gCfobGCbSu), et comme déjà relevé par d'autres (https://t.co/t9EQizGhg3), c'est plutôt inquiétant. 👇

— Жильбер гилбс (@gilbsgilbs) June 5, 2021

Premier problème selon lui : "on ne trouve le code source de cette application nulle part. Seul IN Groupe -l'entreprise française qui l'a développée, détenue par l'Etat NDLR- sait réellement ce que fait son app. TousAntiCovid avait été distribué en open-source et sous licence libre, pourquoi pas la même transparence pour TousAntiCovid Verif ?" pointe-il en préambule.

En plus de contenir des composants propriétaires de Google dans son fonctionnement, le hacker révèle que "la totalité du contenu (à savoir le nom, prénom, date de naissance, numéro et marque de vaccin, date d'injection, signature, etc...) est envoyé sur un serveur d'IN Groupe". IN Groupe est certes une entreprise détenue par l'Etat, mais le hacker indique que l'application envoie la totalité du 2D-DOC par une requête HTTPS qui ne se termine pas chez IN Groupe, mais chez son prestataire Akamai, qui est un fournisseur de serveurs proxies américain. Qui voit donc passer les données qui remontent dans l'API d'IN Groupe lors d'un contrôle du pass sanitaire, selon le hacker, soutenu dans son analyse par d'autres experts de la cyber, dont les consultants en cybersécurité Florian Maury et Piotr Chmielnicki.

* correction sur le point 1, c'est encore pire que ce que je pensais : comme c'est un CDN, les IPs du endpoint dépendent de votre géolocalisation. C'est Akamai qui décide dans quel pays et vers quel serveur les requêtes partent et c'est bien Akamai qui fait la terminaison TLS.

— Жильбер гилбс (@gilbsgilbs) June 7, 2021

Autre point d'étranglement de Gilbsgilbs : "Pourquoi avoir utilisé une API propriétaire de Google pour scanner le 2D-DOC -le QR code, ndlr- plutôt qu'un scanner libre comme zxing ? Et ça se veut application "souveraine" ?", pointe-t-il. Comme StopCovid et TousAntiCovid avant elle, la nouvelle application TousAntiCovid Verif n'évite pas l'écueil de la polémique sur le sérieux de sa conception.

Sylvain Rolland

9 mn

Paris Air Forum

Sujets les + lus

|

Sujets les + commentés

Commentaires 9
à écrit le 10/06/2021 à 10:21
Signaler
Données en clair et accessibles via d'autres applications, on a vu mieux comme "sécurisation" des données personnelles. Même le billet SNCF est codé, c'est honteux de promouvoir une application qui contient des données de santé, qui est une passoire ...

à écrit le 10/06/2021 à 9:57
Signaler
Pendant ce temps : La Chine va être le premier pays au monde à vacciner les plus petits. Un laboratoire a en effet annoncé mercredi 9 juin que les enfants de trois ans seraient vaccinés très prochainement. Le géant asiatique, où le Covid-19 a fa...

à écrit le 10/06/2021 à 8:57
Signaler
Un passeport sanitaire ,tu parles ,quand on pense que la CNIL a autoriser en 2018 en douce une boite américaine IQVia, à collecter des données de santé par le biais de la carte vitale auprès des pharmacies françaises,près de 14000 actuellement sont c...

à écrit le 09/06/2021 à 23:23
Signaler
Usine a gaz pour avoir son pass sanitaire j abandonne trop complique.Tous fait pour que cela ne marche pas

à écrit le 09/06/2021 à 19:29
Signaler
Youpi, le passeport sanitaire puis sociétal se met en place. Au début, c’était un simple carnet vaccinal. Puis c’est devenu un moyen de contrôle social totalitaire. Les foules manipulées ont applaudi. Saupoudrez un peu d’urgence sur de la peur, et ...

à écrit le 09/06/2021 à 14:58
Signaler
question .. c est quoi ? probablement un tour de passe passe..

à écrit le 09/06/2021 à 14:17
Signaler
Ça sert à sélectionner les touristes par rapport à leur «  classe » sociale .? Une grosse connerie en réalité , car chacun est responsable de soi - même et la santé est une affaire personnelle , pas besoin d’un passé sanitaire pour être adulte et re...

à écrit le 09/06/2021 à 12:40
Signaler
Que celles et ceux vaccines et porteurs de ce pass pointent leur nez dans un pays d'Asie ( Japon, Coree, Vietnam, Laos, etc). Ils seront des leur arrivee confines dans un lieu a leurs frais durant deux semaines. "Sic transit" comme disait les ancien...

à écrit le 09/06/2021 à 10:57
Signaler
Ce serait quand même plus simple si on obligeait les gens à porter un rond rouge au niveau de la poitrine comme on a obligé les juifs à porter une étoile à une autre époque. Cela reviendrait au même, nul besoin d'appli pour ça.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.