Nouvelle étape dans le déconfinement. Ce mercredi 9 juin, la France lance son propre pass sanitaire, trois semaines avant celui de l'Union européenne. Deuxième phase du déconfinement, il fait partie d'un ensemble de mesures d'allégement des contraintes sanitaires qui entrent en vigueur dès mercredi, parmi lesquelles le repoussement du couvre-feu de 21h à 23h, la possibilité de déjeuner à l'intérieur des bars et restaurants, ou encore la réouverture des salles de sport, casinos, parc d'attraction et thalassos. La jauge passe également de 35% à 65% dans les cinémas, théâtres et musées.
- Le pass sanitaire, c'est quoi ?
Le pass sanitaire permet à n'importe quel citoyen de présenter une preuve de son statut sanitaire. Il comprend trois types de preuves : un certificat de test négatif de moins de 48h ou 72 heures, un certificat de test positif d'au moins 15 jours et de moins de 6 mois, ou un certificat de vaccination.
Le pass sanitaire est indispensable pour toutes les personnes de plus de 11 ans pour deux choses : voyager hors de l'Hexagone mais toujours en France -vers la Corse et les Outre-Mer et inversement-, et participer à des événements accueillant 1.000 personnes ou plus. Pour les événements, il vient en complément des mesures sanitaires déjà en vigueur et propres à chaque secteur, et permet de mettre en place des jauges de 5 000 personnes jusqu'au 30 juin, date prévue du déconfinement total si la situation sanitaire le permet. Le Festival de Cannes, le festival d'Angoulême, les matches de Ligue 2 et Ligue 1 en août, les festivals musicaux d'été comme les Vieilles Charrues, entre autres, sont concernés.
En revanche, le pass sanitaire n'est pas nécessaire pour les activités quotidiennes comme aller au travail, au restaurant, faire ses courses, aller à la piscine ou au cinéma.
Il ne concerne que le public accueilli de plus de 11 ans, y compris les touristes étrangers, mais pas les salariés, organisateurs ou professionnels se produisant dans les lieux ou évènements où le Passe sanitaire est obligatoire.
- Comment ça marche ?
Chacun des certificats -de test PCR ou de vaccination- est encodé sous une forme de QR Code, que le citoyen peut présenter via l'application TousAntiCovid Verif, une nouvelle application gratuite sur Android et l'App Store, indépendante de TousAntiCovid. Il est toujours possible de stocker les preuves de vaccination ou de PCR sur TousAntiCovid Carnet, la fonction de stockage de documents de l'application de contact tracing. Une attestation papier, du moment qu'elle contient le QR code, peut également se substituer au numérique car un quart des Français n'ont pas de téléphone portable.
Une fois le QR Code flashé, la personne habilitée verra s'afficher le nom, le prénom et la date de naissance de la personne contrôlée, ainsi qu'une mention « valide/invalide », ce qui indique si la personne peut ou non effectuer son voyage ou participer à l'événement. Un justificatif d'identité doit également être fourni.
- Quels sont les types de preuves valables ?
Pour le certificat de vaccination, il est possible de le récupérer auprès du professionnel de santé qui a effectué l'acte. Ce certificat peut également être téléchargé sur le portail https://attestation-vaccin.ameli.fr de l'Assurance Maladie, dont l'accès se fait avec les identifiants Ameli ou une connexion France Connect. Le certificat doit afficher un schéma de vaccination complet : pour le vaccin Johnson & Johnson, il est valide au bout de 4 semaines après l'unique injection. Pour les vaccins à deux injections (Pfizer, Moderna, AstraZeneca), il est valide à partir de deux semaines après la deuxième injection. Pour les personnes ayant eu la Covid-19, à partir de deux semaines après la seule injection.
Pour les tests, il est possible de présenter des tests RT-PCR et antigéniques, sous réserve qu'ils soient certifiés avec un QR Code lisible par l'application TousAntiCovid Verif.
"En revanche, les résultats des autotests seront refusés car leurs conditions de réalisation non supervisées par un professionnel de santé ne garantissent ni la fiabilité de leur résultat, ni celle de l'identité du détenteur du pass", précise le cabinet de Cédric O, le secrétaire d'Etat à la Transition numérique et aux communications électroniques.
Le test doit dater de moins de 48h pour l'accès aux grands événements concernés, et de maximum 72h pour le contrôle sanitaire aux frontières.
Pour que l'application délivre une autorisation de voyage ou d'accès à un événement, il faut que le certificat de test positif date d'au moins 15 jours et de moins de 6 mois, ce qui prouve que la personne n'est plus malade mais immunisée. Seuls les résultats des tests RT-PCR et des tests antigéniques certifiés avec QR Code sont admis.
- Quelle articulation avec le futur "certificat vert européen" disponible le 1er juillet ?
"Les deux seront compatibles car la conversion du code français au standard européen se fera automatiquement dès le 21 juin", indique Cédric O. Depuis le 17 mars, l'Union européenne œuvre à la mise en place d'un « certificat vert numérique », dont l'objectif est de faciliter la libre circulation des personnes au sein de l'Union. Afin de rendre les systèmes mis en place par les Etats membres interopérables, elle travaille au développement d'une approche commune pour la délivrance, la vérification et l'acceptation des certificats de preuve, qui devrait être déployée en juillet.
En France, les preuves délivrées par d'autres Etats membres seront lisibles via TousAntiCovid Verif dès la fin du mois de juin, ou début juillet en fonction de l'état d'avancement des différents pays, promet le cabinet de Cédric O.
- Quid des données personnelles ?
Si les personnes chargées de vérifier le pass sanitaire ne voient, selon Cédric O, "qu'un statut rouge ou vert, donc n'ont accès à aucune donnée sensible", l'application TousAntiCovid Verif contient des données de santé. Le Conseil constitutionnel le 31 mai, puis la Commission nationale informatique et libertés (CNIL) le 8 juin, ont validé le projet de pass sanitaire, et donc le transfert des données de santé qu'il contient vers le Système national de données de santé (SNDS). On y trouve le sexe, le mois et l'année de naissance, le rang de naissance et le lieu de résidence, ainsi que les maladies contractées, mais pas le nom des patients, ni leur adresse.
Mais plusieurs hackers, spécialisés dans l'analyse du fonctionnement des applications et la recherche de vulnérabilités, ont soulevé des zones d'ombres qui contredisent le discours officiel. Notamment un développeur connu sur Twitter sous le pseudo Gilbsgilbs, qui a publié un thread alarmant suite à son analyse de la nouvelle application, qu'il juge "inquiétante" :
Je viens d'inspecter un peu la nouvelle application officielle permettant de vérifier l'authenticité des certificats de vaccination français : TousAntiCovid Verif (https://t.co/gCfobGCbSu), et comme déjà relevé par d'autres (https://t.co/t9EQizGhg3), c'est plutôt inquiétant. 👇
— Жильбер гилбс (@gilbsgilbs) June 5, 2021
Premier problème selon lui : "on ne trouve le code source de cette application nulle part. Seul IN Groupe -l'entreprise française qui l'a développée, détenue par l'Etat NDLR- sait réellement ce que fait son app. TousAntiCovid avait été distribué en open-source et sous licence libre, pourquoi pas la même transparence pour TousAntiCovid Verif ?" pointe-il en préambule.
En plus de contenir des composants propriétaires de Google dans son fonctionnement, le hacker révèle que "la totalité du contenu (à savoir le nom, prénom, date de naissance, numéro et marque de vaccin, date d'injection, signature, etc...) est envoyé sur un serveur d'IN Groupe". IN Groupe est certes une entreprise détenue par l'Etat, mais le hacker indique que l'application envoie la totalité du 2D-DOC par une requête HTTPS qui ne se termine pas chez IN Groupe, mais chez son prestataire Akamai, qui est un fournisseur de serveurs proxies américain. Qui voit donc passer les données qui remontent dans l'API d'IN Groupe lors d'un contrôle du pass sanitaire, selon le hacker, soutenu dans son analyse par d'autres experts de la cyber, dont les consultants en cybersécurité Florian Maury et Piotr Chmielnicki.
* correction sur le point 1, c'est encore pire que ce que je pensais : comme c'est un CDN, les IPs du endpoint dépendent de votre géolocalisation. C'est Akamai qui décide dans quel pays et vers quel serveur les requêtes partent et c'est bien Akamai qui fait la terminaison TLS.
— Жильбер гилбс (@gilbsgilbs) June 7, 2021
Autre point d'étranglement de Gilbsgilbs : "Pourquoi avoir utilisé une API propriétaire de Google pour scanner le 2D-DOC -le QR code, ndlr- plutôt qu'un scanner libre comme zxing ? Et ça se veut application "souveraine" ?", pointe-t-il. Comme StopCovid et TousAntiCovid avant elle, la nouvelle application TousAntiCovid Verif n'évite pas l'écueil de la polémique sur le sérieux de sa conception.
Sujets les + commentés