On a montré un manque de transparence au niveau du code source de l’application TousAntiCovid au début août. TousAntiCovid l’est également l’application en termes de traitement et de recroisement des données personnelles, en plus, il peut identifier des personnes
Pour les Français, l’application TousAntiCovid garde encore des limités. Avec cette application, les données personnelles sont exposées quand on renseigne et partage ses données vaccinales relatives au Covid-19. Selon le rapport d’une analyse effectuée par des chercheurs dont Gaëtan Leurent de l’Inria, le système de collecte et de remontée de statistiques de cette application est particulièrement dangereux. Les chercheurs expliquent que le serveur central a la capacité de mettre en correspondance les différentes sources de données séparées, déterminer certains utilisateurs, chercher des informations sur la vie individuelle de certains utilisateurs.
En plus, selon les chercheurs, les types de données de traçage bluetooth, liées à l’application et à un identifiant généré lors de l’installation ainsi que des événements de santé doivent être cloisonnées. Il existe quelques solutions pour reconstruire une correspondance entre ces données. On peut utiliser le token JWT pour que le serveur puisse facilement réaliser ces informations, et les différents identifiants de l’utilisateur. Par ailleurs, après la statistique de synchronisation du traçage Bluetooth, l’envoi des statistiques applicatives se fait juste. Donc, les données de traçage bluetooth peuvent être corrélées aux statistiques applicatives
Un recoupement possible de données personnelles de l’utilisateur
Parmi les 21 types d’événements applicatifs possibles de TousAntiCovid, il n’y a que deux types qui sont relatifs au déclenchement concernant à l’envoi de la statistique de conversion d’un certificat 2D-Doc en DCC. Grâce à ces deux événements applicatifs, une fenêtre temporelle raccourci (normalement moins d’une seconde) durant laquelle le convertisseur a été utilisé. Selon les chercheurs, le serveur central peut donc identifier un utilisateur avec toutes les informations personnelles comme le nom, prénom, et date de naissance et associer un identifiant d’application (UUID) à une identité réelle.
Les développeurs de l’application avaient fait tout leur possible pour limiter l’accès à certaines données, mais il existe aussi tous les trous qui ne sont pas bouchés – Gaëtan Leurent a indiqué dans un tweet. Les utilisateurs de cette application peuvent désactiver la collecte de requête. Pour cela, il faut accéder à l’application, complètement en bas sélectionner les paramètres. Ensuite, il faut aller dans l’onglet Statistiques et mesures d’audience, il faut désactiver la fonction et choisir à supprimer mes données
TousAntiCovid Verif sous surveillance également
À côté de TousAntiCovid, TousAntiCovid Verif – l’application permettant de vérifier la validité des certificats Covid-19, est également dans la liste des défenseurs de la vie privée. L’application a reçu beaucoup de commentaires comme : L’utilisateur n’a pas le droit d’opposer à ce traitement et il semble difficile de considérer qu’il est strictement essentiel à condition d’un service de communication en ligne à la demande expresse de l’utilisateur ; selon La politique de confidentialité, seules des données techniques anonymes sont agrégées et consolidées à des fins statistiques mais en effet il faut avoir également un journal complet et anonymisé des scans
Grâce au soutien de ce journal, on peut voir exactement l’heure de chaque scan, le résultat “valide” ou “invalide” du type de document scanné. Si le passé a déjà été scanné récemment ou est blacklisté,… La personne s’interroge sur le fait que le système statistique ne correspond pas en nature à ce qui est indiqué dans la politique de confidentialité.
