TousAntiCovid particulièrement inquisiteur avec les données personnelles

Pointé du doigt début août par un manque de transparence au niveau de son code source, l’application TousAntiCovid l’est également en termes de traitement et de recroisement des données personnelles pouvant aller jusqu’à identifier des personnes.

Entre TousAntiCovid et les Français, l’histoire est compliquée. En plus d’un manque de transparence de son code source, l’application permettant de renseigner et partager ses données vaccinales relatives au Covid-19 exposerait des données personnelles. Une analyse menée par plusieurs chercheurs dont Gaëtan Leurent de l’Inria montre en effet que le système de collecte et de remontée de statistiques de cette app est particulièrement pernicieux. « Le serveur central peut notamment : mettre en correspondance les différentes sources de données qui devraient être indépendantes, identifier certains utilisateurs, récupérer des informations sur la vie privée de certains utilisateurs (test positif, statut vaccinal, relations sociales) », expliquent les chercheurs.

Selon eux, l’application TousAntiCovid génère plusieurs types de données qui doivent normalement restées cloisonnées, incluant celles de traçage bluetooth, liées à l’application et à un identifiant généré lors de l’installation ainsi que des événements de santé. Oui mais voilà, selon eux, il existe différentes façons de reconstruire une correspondance entre ces données. « L’utilisation du token JWT permet au serveur de facilement relier ces informations, et les différents identifiants de l’utilisateur », préviennent les chercheurs. « Les données de traçage bluetooth peuvent être corrélées aux statistiques applicatives, car l’envoi des statistiques applicatives (AnalyticsManager.sendAnalytics) se fait juste après la requête de synchronisation du traçage Bluetooth (ROBERT) (remoteServiceRepository.status)».

Un recoupement possible de données personnelles de l’utilisateur

Sur les 21 types d’événements applicatifs possibles de TousAntiCovid, deux sont relatifs au déclenchement avant et après l’envoi de la requête de conversion d’un certificat 2D-Doc en DCC. «  Ces deux événements applicatifs permettent donc de déduire une fenêtre temporelle très courte (généralement moins d’une seconde) durant laquelle le convertisseur a été utilisé. Si le serveur central peut croiser ces données avec les données du serveur qui gère le convertisseur de certificat, il peut donc identifier un utilisateur avec son nom, prénom, et date de naissance et lier un identifiant d’application (UUID) à une identité réelle », ont prévenu les chercheurs. 

Dans un tweet, Gaetan Leurent a indiqué que les développeurs de l’application avaient réagi pour réduire l’accès à certaines données, mais tous les trous ne sont pas bouchés précise le chercheur. Il est possible aussi pour l’utilisateur de désactiver la collecte de statistiques. Pour cela, il faut aller dans l’application, complètement en bas sélectionner paramètres. Dans l’onglet Statistiques et mesures d’audience, il suffit de désactiver la fonction et de cliquer sur supprimer mes données.

TousAntiCovid Verif sous surveillance aussi

Outre TousAntiCovid, l’application permettant de vérifier la validité des certificats Covid-19, TousAntiCovid Verif, est également dans le collimateur des défenseurs de la vie privée. « L’utilisateur n’est pas vraiment en mesure de s’opposer à ce traitement et il semble difficile de considérer qu’il est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur », prévient un twittos. « La politique de confidentialité indique que seules des données techniques anonymes sont agrégées et consolidées à des fins statistiques. Or, quand on s’intéresse à ce qui est fait en pratique, ce sont bien plus que des données agrégées et consolidées qui sont envoyées, mais un journal complet et anonymisé des scans.»

Or ce journal indique notamment l’heure exacte de chaque scan, si celui-ci a donné lieu à un retour “valide” ou “invalide”, le type de document scanné (2D-DOC ou DCC/certificat de vaccination, de test ou de rétablissement), si le pass a déjà été scanné récemment ou est blacklisté,… La personne s’interroge sur le fait que le système de statistique ne correspond pas en nature à ce qui est indiqué dans la politique de confidentialité.

Leave a Reply

Your email address will not be published. Required fields are marked *