Archives par mot-clé : gouvernement français

Comment le gouvernement français protège t-il les données des pass sanitaires en circulation ?

Depuis un moment, le pass sanitaire est obligatoire pour accéder à certains espaces publics en France.

Pour faciliter la vérification de ces dispositifs sanitaires, il a été développé des solutions informatiques par le gouvernement français en collaboration avec la Commission européenne. Ces dispositifs tournent autour d’un QR code. Grâce à la clé qu’il contient, il est possible de vérifier de façon numérique le lieu de vaccination ainsi que le contenu de certaines informations. En d’autres termes en le QR code se présente comme un identifiant cryptographique.

Cet article va aussi vous intéresser : Des faux pass sanitaires en circulation

De ce que l’on sait, le pass sanitaire ne permet pas d’avoir accès à des données de santé. Cependant, selon la Commission nationale de l’Informatique et des libertés, il n’est pas à exclure qu’une personne mal intentionnée cherche à accéder à ses informations personnelles qui sont contenues dans le QR code.

Il N’empêche que l’autorité administrative chargée de veiller au respect des normes en faveur de la protection des données personnelles ne détaille pas assez bien son point de vue. Cependant elle conseille à toute personne concernée de ne pas divulguer son QR code sur les réseaux sociaux ou sur tout autre plate-forme numérique ou analogique publique. Elle conseille notamment de ne pas présenter son pass sanitaire a des endroits où le contrôle n’est pas obligatoire.

Par ailleurs une autre critique vise l’application particulièrement. Elle concerne l’entreprise chargée de l’hébergement de cette dernière. En effet, c’est une société américaine, du nom de Akamai qui serait chargé de son hébergement. Ce qui pose un problème sérieux de confiance. De son côté le ministre chargé du numérique, Cédric O à chercher à rassurer en signifiant qu’une société tierce ne peut pas accéder aux données quand bien même qu’elles les hébergent.

Pourtant depuis le mois de juin 2021, il semblerait que suite à des études réalisées par des chercheurs en sécurité informatique dont Johan D, Nil L et Gaëtan Leurent, a permis de démontrer que l’application TousAntiCovid serait touchée par de grave faille de sécurité. Si l’étude a été publiée en fin du mois d’août 2021, elle a mis en évidence d’importantes risques pour la sécurité des données.

Ces spécialistes de la cybersécurité ont découvert que certaines données sont collectées auprès de l’utilisateur. Ce sont en particulier des statistiques horodatées et très détaillées. Ce qui est nettement une atteinte à la protection de la vie privée et à la sécurité de l’utilisateur. Elle « contredit le principe de minimisation des données ». Une telle analyse « met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles de traçage de contact Robert (traçage Bluetooth) et Cléa (traçage des lieux par QR Code) » ont déclaré nos 3 chercheurs.

Ce qui tracasse dans cette histoire, c’est que la collecte de données est activée par défaut. S’il est possible de la désactiver manuellement, il faut signifier que l’utilisateur n’en est pas informé au préalable.

Pour soulever un autre problème encore, l’utilisation de l’application permet l’accès aux données de localisation. Ce qui signifie que scanner dans un laps de temps réduit plusieurs utilisateurs dans un même endroit peut permettre de déterminer si des personnes se sont rendues ensembles dans des lieux particuliers. Ce qui peut facilement porter à la déduction que ces personnes se connaissent. De ce fait, si l’envie en prenait au gouvernement, il peut tout simplement essayer de cartographier les relations que les citoyens entretiennent entre eux.

Enfin il faut savoir que si l’on regroupe l’ensemble des données collectées par le système de vérification, il sera possible d’identifier avec précision un utilisateur de l’application TousAntiCovid. Si le logiciel : « croise ces données avec les logs du convertisseur de certificat (qui contient des données nominatives), elle peut retrouver l’identité des utilisateurs », explique le chercheur. Par conséquent, il est difficile de penser à un quelconque anonymat dans ce contexte.

Toutefois, il ne faudrait pas crier trop vite à la conspiration.

« Je ne pense pas qu’il y ait une volonté de tracer les utilisateurs. Les différents problèmes sont plutôt la conséquence de choix qui ont étés fait sans réfléchir à leurs conséquences en termes de vie privée, et d’un manque de contrôle. En particulier, je ne comprends pas pourquoi la CNIL n’a pas émis un avis négatif sur l’application TAC Verif qui faisait la vérification de signature sur un serveur central. C’est vraiment dommage d’avoir fait ces erreurs, parce que le projet StopCovid (qui est devenu TousAntiCovid) a été lancé avec des protocoles respectueux de la vie privée développés par des chercheurs de l’équipe Inria PRIVATICS, une analyse de sécurité de l’ANSSI, et un bug Bounty sur le code de l’application. Les évolutions récentes ont apparemment été faites sans aucune analyse de risque, et tous ces efforts sont gâchés », déclare le chercheur en cybersécurité, Gaëtan Leurent.

Pour ce dernier, il faut écarter la thèse de la volonté de l’État d’espionner où nous contrôler l’utilisateur de l’application.

Cependant le chercheur en sécurité informatique ne manque pas de soulever que la conception du pass sanitaire tel qu’il est actuellement pose un réel problème. Il serait en effet trop intrusif à cause des informations qu’il est censé contenir. Tout ceci dans un environnement dont la sécurité il n’est pas définitivement ou correctement garantie. « Le Pass a été conçu comme une version digitale d’un résultat de test COVID ou de certificat de vaccination, et il inclue les mêmes données: identification (nom, prénom, date de naissance), et données de santé (suivant le cas, résultat de test COVID avec la date, ou information vaccinale avec le nombre de doses et la date de la dernière). C’est un choix qui se défend pour les contrôles aux frontières, mais pour une utilisation dans la vie quotidienne, ça nous oblige à révéler beaucoup d’informations. En particulier le nombre de doses révèle des informations de santé: une seule dose pour ceux qui ont eu le COVID, trois doses pour les immunodéprimés. Il aurait été possible de mettre en place des Pass à durée de validité réduite (un ou deux jours), qui contiennent seulement une date de validité, sans autres informations, comme ce qui a été mis en place en Suisse », souligne notre chercheur en cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le plan du gouvernement Français en vue du renforcement de la sécurité informatique des systèmes de santé

Il y a quelques semaines de cela, le ministère des solidarités de la santé avait fait la présentation du plan gouvernemental visant au renforcement de la sécurité informatique des systèmes de santé.

Le dossier en question date du mois de mai 2021 est en ligne depuis le début du mois de juin sur la plate-forme de l’agence de numérique en santé.

Tout ceci dans le contexte de ce qui a été annoncé par le président français Emmanuel Macron en février 2021.

Sur le plan national, tout ceci fait partie d’une déclinaison de la feuille de route de l’institution du numérique en santé est qu’une partie du volet numérique du Ségur, projet qui a été confié à un comité chargé de le piloter de façon had hoc, comité constitué :

– du cabinet du ministre de la Santé,

– de la délégation ministérielle du numérique en santé,

– du secrétariat général et

– du haut fonctionnaire de défense et de sécurité du ministère de la santé

– de la direction générale de l’offre de soins

– l’agence du numérique en santé

Tout ceci est : « en lien avec l’ensemble de l’écosystème de la santé et l’Agence nationale de la sécurité des systèmes d’information ».

On rappelle que au mois de février 2021 le président français Emmanuel Macron avait un nom se mettre à disposition de ce projet près de 350 millions d’euros pour la réalisation de ce projet, fond qui est issu des 2 milliards d’euros de Ségur, de la santé qui a été destiné au secteur du numérique.

Par ailleurs, un « observatoire national de maturité [de la sécurité des systèmes d’information] des établissements de santé » doit voir le jour. Ce dernier « s’appuiera principalement sur le référentiel Maturin-H » (maturité numérique des établissements hospitaliers), que la DGOS prévoit de publier », dès le début 2022.

L’ensemble des dispositifs sera complété par un appui technique des structures tel que la campagne tous cyber vigilant et le CERT santé (l’ancienne cellule d’accompagnement en cybersécurité des structures de santé de l’Agence nationale du numérique en santé.)

Dans les collectivités territoriales c’est-à-dire au niveau régional, ce sont les agences régionales de santé qui auront la lourde tâche « d’accompagner le volet cyber du virage numérique des territoires: sensibilisation des acteurs, partage de pratiques, appui aux mutualisations, organisation de la réponse à incident ». De leur côté d’un groupement hospitalier de territoire devront quant à eux : « monter en puissance comme accélérateurs des nouveaux usages numériques, organisés autour de la sécurisation des systèmes d’information (SI) partagés, de la mutualisation des moyens cybers et des capacités de réponse à incidents ».

Au niveau des structures de santé de façon individuelle, les thématiques seront détaillés différemment.

Sur le plan de la gouvernance, les structures de santé auront la lourde tâche :

– Déplacer la sécurité informatique en première position dans la maîtrise des risques

– De désigner un responsable chargé de la sécurité des systèmes d’information où en correspondant chargé de la sécurité informatique

– De désigner un délégué à la protection des données et rechercher la mutualisation entre ce poste.

« Pour chaque programme numérique, il est demandé à chaque structure de consacrer de 5 à 10% du budget informatique à la cybersécurité, notamment au maintien en condition de sécurité (MCS) des SI et des infrastructures sous-jacentes dans la durée », avait déclaré le ministre des solidarités, Olivier Véran et Monsieur Cédric O le secrétaire chargé de la transition numérique et des télécommunications.

Pour la sécurité des systèmes d’information, « l’ensemble des structures de santé devront mettre en œuvre des règles d’hygiène informatique », comme élaboré par l’agence de sécurité des systèmes d’information et précisé dans un guide qui porte le même nom.

Pour les opérateurs de services essentiels, ils auront l’obligation de déployer « des règles de sécurité renforcée » en conformité avec la directive européenne NIS pour Network and Information Security qui ordonnance ce statut.

Selon le directeur de l’Agence nationale de sécurité des systèmes d’information, monsieur Guillaume Poupard, l’organisme en public : « vient de désigner une centaine d’établissements de santé comme OSE […] généralement les têtes de pont des GHT ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les erreurs qui ont plombé l’application StopCovid en France

Après littéralement l’échec du projet d’application de traçage du gouvernement Français, les spécialistes sont revenus sur la question qui ont pu être la cause de ce problème.

Parmi plusieurs insuffisances remarquées, il y a 3 qui en particulier qui ont attiré l’attention des observateurs et qui seraient selon eux la cause du fiasco de StopCovid.

Cet article va aussi vous intéresser : Focus sur l’application StopCovid du gouvernement Français : l’heure du bilan est arrivée

Il faut noter que l’application a été approuvée avant son déplacement par l’Assemblée nationale. Mis à la disposition de grand public à partir du 2 juin, l’outil avait pour objectif d’analyser les interactions dans le but d’informer les personnes concernées dans la mesure où elles ont été en contact avec d’autres qui plus tard où ont déjà été dépistées positif au coronavirus. Malheureusement le projet a littéralement été un fiasco. Moi seulement le taux de téléchargement est inférieur à l’attente, mais dans un certain sens, les Français n’ont pas eu confiance à cet outil.

Alors on s’interroge légitimement de savoir quel a été le problème. Qu’est-ce qui n’a pas marché convenablement ? Qu’est-ce qui a été la cause de ses échecs ?

Dans cet article, nous allons aborder les trois problèmes majeurs qui en donner le coup de grâce à l’application de traçage.

Selon les observations le premier problème qui aurait entraîné la suite de l’application de traçage et son design par le comité. Le fait que le comité chargé de piloter le projet était trop étendu donc exposait d’une certaine manière Initiative a beaucoup de contradictions d’imperfection liée à la nature humaine même. « Officiellement, le gouvernement avance sur un projet piloté par l’institut de recherche publique Inria, en lien avec le comité Care nommé par l’Élysée pour faire face à l’épidémie. La Direction interministérielle du numérique (Dinum) et l’Agence nationale de sécurité informatique (Anssi) s’attellent au codage et à la protection de la future application, parfois en écoutant quelques start-up. Par exemple, Unspread (une émanation de l’agence Fabernovel) a fait des propositions sur le design de l’application. ». Avec tous ces structures gouvernementales et agences, il y a eu l’apport de certaines structures privées qui étaient chargées de participer à leur manière à l’effort du développement de l’application dont Dassault Systems, CapGemini, Sopra-Steria, Orange et Sia Partners.

Une ribambelle de structures qu’ils ont plutôt rendue le chose peu plus compliqué qu’abordable. Peut-être que si une agence de l’État avec un acteur privé, s’était contenté et tout simplement de développer le projet cela aurait été encore plus potable voire abordable.

Le fait qu’il y ait eu autant de structures dans la réalisation de projets de l’application de traçage j’appréhende beaucoup plus souvent un aspect politique que technique. Pour un projet aussi limité, avoir autant de participants étaient beaucoup plus un handicap qu’un atout. Et depuis le début tout le monde le savait.  « Outre la lenteur qu’elle induit dans les prises de décision, les risques de cette approche, caricaturée sous le nom de « design par comité », sont bien connus : choix techniques contre-productifs, déresponsabilisation à tous les étages et quasi-impossibilité de changer son fusil d’épaule en cas de pépin, façon Titanic à l’approche de l’iceberg. » explique certains observateurs.

Concernant la seconde erreur, important sur un mauvais choix de l’architecture de l’application. Et cela a même été révélé par le secrétaire d’État chargé du numérique, M Cédric O : « Apple aurait pu nous aider à faire en sorte que cela marche encore mieux sur les iPhones. Ils n’ont pas souhaité le faire, pour une raison d’ailleurs que je ne m’explique guère, a expliqué le ministre. Qu’une grande entreprise qui ne s’est jamais aussi bien portée en termes économiques n’aide pas un gouvernement à lutter contre la crise, il faudra s’en souvenir le moment venu. ».

On se demande alors pourquoi Apple a refusé son aide à l’État français, dans le cadre de StopCovid, comme le mentionne le secrétaire chargé au numérique. Tout simplement parce qu’au détriment de la proposition faite par Google et Apple, de mettre à la disposition des Etats, des outils permettant de faciliter le déploiement de solutions de traçage, la France a voulu développer son architecture propre à elle. Caractérisé par la centralisation des données récoltées. Ce qui est totalement opposé au système développé et proposé par les 2 géants en américains.

La troisième erreur a porté sur la communication. En effet le style de communication envisagée par le gouvernement n’était pas de nature à obtenir la confiance des Français. Par exemple le secrétaire d’État chargé au numérique déclaré ceci : « En fait, il n’y a même pas de données : personne n’aura accès à qui est contaminé, et personne ne sera capable de retracer qui a contaminé qui. ». Il est évident que cela est totalement faux. Car à moins d’être totalement déconnecté de la réalité, toutes applications de ce genre génèrent et collectent bien évidemment des informations susceptibles d’être relié aux utilisateurs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage