Comme vous le savez, le ministre de l’Intérieur a mis en place une attestation dérogatoire dématérialisée. Elle complète le dispositif actuel, des attestations à remplir que vous trouverez ici.
Accéder au générateur d’attestation numériqueLe générateur d’attestation numérique
Pour créer une attestation numérique, le gouvernement a fait le choix d’un générateur d’attestation numérique. Plus concrètement, il s’agit d’un formulaire qui va générer le code QR à partir des informations que vous avez rentrées.
Nous avons vérifié, la génération du formulaire se fait bel et bien en local, dans votre navigateur, sans partage des données vers des serveurs externes.
Le code QR généré
Le code QR généré est une base de donnée chiffrée qui contient l’ensemble des données que vous avez rempli dans le formulaire. Vous pouvez lire ce code avec n’importe quelle application de lecture de code QR. Vous pourrez ainsi vérifier les informations stockées dessus, y compris l’heure de création du formulaire et l’heure de sortie rentrée.
Voici les informations stockées dans notre code QR :
- Crée le : 06/04/2020 a 10h12; Nom : Frandroid; Prenom : Frandroid; Naissance : 01/04/1986 a Internet; Adresse : 34 rue des Internet 88888 Internet; Sortie : 06/04/2020 a 09h50; Motifs : courses
Si vous lisez ce code avec votre smartphone, voici ce que vous pourrez récupérer :
La lecture du code QR
La lecture des informations du code QR se fait depuis une application nommée CovidReader, un lecteur de code QR relativement simple développé par le ST(SI)2 (service des technologies et des systèmes d’information de la Sécurité intérieure) et distribué sur la version F-Droid de la gendarmerie. Un store spécifiquement conçu pour distribuer les applications Android validées pour la police et la gendarmerie.
D’après ce que nous savons, CovidReader lit le QR Code, affiche les informations ou renvoie une erreur si une information est manquante, ce qui permet très simplement à un policier ou à un gendarme de connaître le statut de l’attestation. Selon le ministère, aucun lien n’est établi entre les éléments d’identité et l’application messagerie tactique pour le contrôle au FPR (le fichier de personnes recherchées). Aucun lien ne permet de passer la personne sur ADOC en cas d’infraction.
Nous n’avons néanmoins pas pu nous procurer l’application, elle est uniquement disponible sur le Néogend dont les gendarmes et les policiers disposent, un smartphone Android modifié et sécurisé. Il s’agit de smartphones Sony (smartphones Xperia X ou tablettes Xperia Z4) qui fonctionnent sous une version Android modifiée baptisée Secdroid (pour Sécurité et Android). Les Néogend sont très surveillés grâce à un système de gestion de droits (DRM), le ministère de l’Intérieur peut savoir si un fichier APK, par exemple, a été exporté par un utilisateur.
Selon les dires du ministre de l’Intérieur, l’application n’enregistre pas les données automatiquement dans l’application dédiée (Messagerie Tactique / FPR). Ce sont les gendarmes et policiers qui doivent inscrire manuellement ces données, comme ils le font déjà lorsqu’ils contrôlent l’attestation papier et l’identité d’une personne. À ce moment-là, il vérifie également si l’individu qu’il contrôle n’est pas inscrit au fichier de personnes recherchées (FPR).
Contacté par Numerama, le ministère de l’Intérieur garantit que : « aucune donnée n’est conservée ou enregistrée sur un quelconque serveur. Aucune trace non plus en local sur les tablettes / smartphone Néo dont sont équipés les policiers et gendarmes ». Une association de gendarmerie confirme l’information et déplore que l’application ne soit pas plus simple à utiliser, y compris pour calculer la distance entre le lieu du contrôle et l’adresse postale de la personne contrôlée :
Un lien entre ces 4 fonctionnalités, tout à fait possible techniquement, réduirait considérablement la durée du contrôle et éviterait d’exposer inutilement les personnes tout en facilitant le travail du gendarme déjà très sollicité.
Nous avons échangé avec un spécialiste français de la sécurité informatique, Baptiste Robert, surnommé Elliot Alderson en référence au héros de la série Mr. Robot.
Selon Elliot Alderson, « la génération du PDF est propre, on télécharge le PDF vierge, ça remplit les informations en local. Rien n’est envoyé sur les serveurs du ministère. La grosse inconnue est l’application lorsque l’on scanne le code QR. Soit c’est un simple lecteur de code QR, l’hypothèse la plus probable. La deuxième possibilité est sur le traitement des données, ça aurait du sens dans le dispositif, car il y a des sanctions en cas de récidive. Mais ça n’a pas l’air d’être le cas, cette version de CovidReader ne semble pas le faire ».
Une nouvelle version de l’application pourrait être développée pour une analyse de données plus poussées et pour simplifier le travail de la police et de la gendarmerie. Le ministère de l’Intérieur pourrait aussi aller plus loin en distribuant le code source de l’application CovidReader dans un souci de transparence. Mais ça n’est pas dans l’habitude du ministère de l’Intérieur, il est donc peu probable que cela soit fait.
Pour Elliot Alderson, « ça semble clean », néanmoins son conseil est de continuer à utiliser le papier : « Le papier est toujours mieux que le numérique pour éviter de se faire tracer ». Au moins, vous avez le choix.
Pour aller plus loin
Attestation de déplacement sur smartphone : voici comment fonctionne le générateur de formulaire
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
La partie de l'article sur "tout se fait en local" est vraiment survolée, quelles sont les tests que vous avez fait? comment cela se vérifie-t-il et surtout pourquoi alors la génération ne fonctionne pas en hors ligne? Page chargée > internet coupé > clic sur le bouton ne fait rien.
Oui et non, il n'y a la requête GET que si tu as bloqué le JavaScript. Sinon, rien ne remonte vers le serveur.
Oui et non. voir commentaire au-dessus
Donc les données sortent bien du téléphone et vont sur le serveur gouvernemental en clair en plus !
Pas besoin de le ficher : il est contenu dans le QR Code. Comme quand tu l'écrivais sur ton papier, ça permet d'effectuer le même contrôle de durée.
C'est même pas une application. L'attestation est générée depuis un site internet du gouvernement. Après, on est censé respecter la loi et donc sortir pas plus d'une heure (hors travail) et avoir toujours une attestation sûr soit ;)
Bah apparemment non justement, puisque rien n'est stocké. C'est dommage, pour moi ça aurait un bel avantage, tout comme de mesurer automatiquement la distance avec le domicile, mais je suppose que ça ne respectait pas assez la vie privée...
La grosse question que je me pose, c'est imaginons que quelqu'un sorte deux fois, est-ce que l'application pourra comparer le nom de l'utilisateur au nombre d'attestations qu'il a généré dans la journée ? Genre Jean sort une fois se balader, il se fait contrôler, ça passe. Jean décide de ressortir, il se fait encore contrôler, mais l'App détecte qu'il est déjà sorti avant.
Je me suis mal exprimé je ne me sens pas particulièrement fliqué. L'état a déjà toutes les données que je transmets lorsque je fais et paie mes impôts
Non, l'Etat n'a pas toutes tes données, faut pas être parano.
L'heure de sortie autorisée n'est exigée que pour l'item déplacement bref, pas pour les courses par exemple. Ceux qui ne respectent pas les règles m'inquiètent plus qu'une éventuelle récupération de mes données, que l'état a déjà de toute façon.
J'en suis sur que l’horodatage est fiché quelque part parce qu'on a le droit finalement à 1h en dehors du domicile pour les déplacement (courses, balade, sport). Comme ça le flic peut savoir si tu dépasse cette limite.
En effet quand on clique sur générer il y a ceci qui circule dans les logs réseau: https://media.interieur.gouv.fr/deplacement-covid-19/?firstname=Duran&lastname=Duran&birthday=29%2F02%2F1984&lieunaissance=Paris&address=123%2C+rue+du+Cherche-midi&town=Paris&zipcode=75002&field-reason=courses&datesortie=2020-04-06&heure=11%3A27 Ca part sur le serveur... en GET bonjour la sécurité... Mais ça respecte bien ce que j'avais saisi.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix