Passe sanitaire : un expert en cybersécurité saisit le Conseil d’Etat

Le scénario gouvernemental de sortie de crise déraille. Adopté le 21 octobre à l’Assemblée nationale, le projet de loi « vigilance sanitaire » - qui prévoyait l’extension du passe jusqu’au 31 juillet 2022 - a rencontré l’opposition du Sénat ce jeudi, sur ses mesures phares. La navette législative repart donc, pour de nouvelles négociations. Pendant ce temps, la partie se joue aussi sur un autre front, en coulisses : le 24 octobre, le Conseil d’Etat a été saisi d’une plainte. Il lui est demandé de se prononcer sur les données sensibles contenues par le code généré sur les certificats de vaccination, de test ou de rétablissement. Des informations personnelles non protégées.

L’histoire démarre par une grimace - ou plutôt une appréhension, avant une piqure : mi-mai, Piotr Chmielnicki reçoit une première dose de vaccin, comme des dizaines de milliers de Français. En récupérant son certificat, ce consultant en cybersécurité se met en tête d’en décrypter le contenu. La pêche se révèle bonne. Avec l’aide de Florian Maury, un spécialiste en sécurité des systèmes d’information (les deux hommes ont travaillé par le passé pour l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information), Piotr Chmielnicki parvient à récupérer via ce code à deux dimensions, prévu pour être scanné à l’occasion des contrôles, plusieurs données personnelles : son nom et prénom, sa date de naissance, le nom du vaccin qui lui a été administré, son fabricant, la molécule utilisée, le nombre de doses reçues, de doses nécessaires pour compléter sa couverture vaccinale et encore l’état de sa vaccination.

« On a constaté qu’il y avait trop de données dans le code », tranche Florian Maury, cinq mois plus tard.

Suite à ces découvertes surprises, le 20 mai, Piotr Chmielnicki adresse un courrier pour se plaindre auprès de la Commission nationale de l’information et des libertés (CNIL), missive dont il met en copie le Défenseur des droits. Ce dernier se contente de le renvoyer vers un avis déjà publié le 17 mai, quelques jours plus tôt donc. Après plusieurs mois d’attente, la CNIL finit par répondre, le 1er septembre. L’autorité administrative indépendante informe le consultant qu’elle a décidé de clôturer le dossier de plainte n° 21012473, sans suites. À ses yeux, « les données rendues accessibles par la lecture du code […] sont pertinentes au regard des finalités poursuivies ».

Pertinentes ? Piotr Chmielnicki est loin d’en être convaincu, et se dit « révolté » par cette réponse. D’où la requête adressée au Conseil d’Etat ce 24 octobre, demandant à la plus haute juridiction administrative l’annulation de cette décision. Également en ligne de mire du plaignant et de son avocat, la reconnaissance de l’illégalité du passe sanitaire.

Piotr Chmielnicki, l’homme qui traque les failles informatiques du passe à la française. Aujourd’hui à son compte, ce consultant a travaillé pendant deux ans au sein de la division scientifique et technique de l'ANSSI.

Trop de données

Adoptée le 31 mai 2021, la loi qui encadre la sortie de crise sanitaire impose la présentation d’une attestation de vaccination, de rétablissement, ou d’un certificat virologique négatif quand un contrôle se présente. Aucun autre document ou preuve n’est exigé par le texte. Ainsi, les papiers d’identité ne peuvent l’être qu’en cas de contrôle par les forces de l’ordre. En l’espèce, c’est ce qui pose problème, la présence de données d’état civil (que le passe contient) n’est tout simplement pas prévue par la loi, telle qu’elle a été votée. On peut d’ailleurs souligner que la fabrication et la traçabilité de ces données ne garantit en rien leur fiabilité, « aucune vérification de l’identité des personnes se présentant dans un laboratoire d’analyses médicales afin d’effectuer un test virologique n’[étant] effectuée », comme le pointe la requête déposée devant le Conseil d’Etat. Ce circuit « de vérification de l’authenticité du document ne permet donc en rien de se prémunir d’une fraude aux documents ». Par ailleurs, la loi ne prévoit pas plus la présence de données personnelles de santé, qui ont la particularité d’être protégées par un arsenal législatif européen. L’amendement COM-35 de l’article 1 de la loi précise d’ailleurs que le code à deux dimensions doit être « une forme simplifiée des documents concernés, afin de restreindre la diffusion d’informations de santé qui constituent par nature des données sensibles ».

Comment dès lors expliquer les données présentes à l’intérieur du code ? Le gouvernement s’appuie sur un règlement européen du 14 juin 2021 relatif au passage des frontières. Lors de voyages d’un pays à l’autre, les citoyens doivent présenter un passe sanitaire européen qui contient nécessairement les éléments de leur état civil mais aussi des données de santé. « Si ce règlement est effectivement applicable aux situations de passage d’une frontière d’un État membre de l’Union européenne, il ne peut servir de base légale au-delà de ces situations », estime Me Alexis Fitzjean Ó Cobhthaigh. Pour l’avocat de Piotr Chmielnicki, par ailleurs, la nature des éléments repérés par son client ne fait pas débat : « la révélation de votre statut vaccinal, savoir si vous avez fait un test récent ou si vous avez contracté le covid il y a plus de quinze jours et moins de dix mois, est une donnée de santé car ça révèle quelque chose sur votre état de santé ». Le principe de minimisation des données, affirmé par la CNIL dans son avis du 12 mai, selon lequel les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire, n’est par conséquent tout simplement pas respecté, toujours selon l’avocat. Conclusion : le passe sanitaire demandé à l’entrée des spectacles et des restaurants ne devrait pas contenir ces informations confidentielles dans son code.

… facilement récupérables 

À cela, la CNIL rétorque dans son courrier du 1er septembre que le gouvernement s’est appuyé sur le règlement européen pour concevoir les passes, et a prévu des modalités pour éviter que toutes les personnes qui les contrôlent puissent avoir directement accès aux informations sensibles. Le filtre, selon l’autorité, se fait à travers les lecteurs de codes authentifiés. Lorsque le passe contrôlé est un passe « activités », ils affichent moins d’informations personnelles que pour le passe « frontières / voyages ». Forte de ce schéma, Marie-Laure Denis, la présidente de la CNIL, l’assure : « l’intégralité des contrôleurs ne seront pas en mesure d’accéder au nom du vaccin ou au nombre de doses ». Il n’y a donc pas lieu de s’inquiéter.

Pourtant, à y regarder de près, cette affirmation semble plutôt imprudente, et le garde-fou évoqué bien mince avec les... lecteurs non-officiels créés par les particuliers. Le phénomène est difficilement quantifiable mais bien réel - il ne peut par conséquent être balayé d’un revers de main. « À la Quadrature du net, construire un lecteur a pris à peine une heure », rapporte Me Alexis Fitzjean Ó Cobhthaigh, membre de l’association de défense des droits et liberté sur Internet. Même principe avec le lecteur Sanipasse, créé par un développeur parisien. « Si vous scannez un code sur sanipasse.fr, le site va vous donner l’intégralité des informations. C’est bien la preuve que ce n’est pas le logiciel de lecture qui a des capacités particulières qui s’activeraient lors du mode « frontières ». C’est juste une question d’affichage. Les données sont contenues dans le code », complète Florian Maury. 

Spécialiste en sécurité des réseaux et des protocoles, Florian Maury est aussi un ancien de l'ANSSI. Il y a notamment écrit des guides de recommandations, pour le compte là encore de la division scientifique et technique de l’autorité.


Contactée par Blast, la CNIL admet que ces applications « peuvent permettre de lire l’intégralité des données » mais rappelle que « la réglementation interdit toutefois de les utiliser dans le cadre des opérations de vérification ». Ajoutant qu’elle « peut prendre des mesures répressives si les données à caractère personnel ne sont pas traitées de manière licite, loyale et transparente ».

Si ces nouvelles applications ne sont pas autorisées, le risque de vol (des informations confidentielles relatives aux vaccins) existe bien. Les conséquences peuvent aller loin, en matière de discriminations. « Avec ces données, on peut en déduire d’autres, détaille Piotr Chmielnicki. Si les banques les récupéraient, même si cela est interdit par la loi, elles pourraient décider de ne pas faire de crédit à une personne qui aurait été vaccinée trois fois à 18 ans en mars 2020, car cela voudrait dire qu’elle est immunodéprimée ou possède des comorbidités », met en garde le consultant en cybersécurité. Le ministère des Solidarités et de la santé a d’ailleurs également fait part de ses inquiétudes sur cette question, dans une étude d’impact sur la protection des données. Celle-ci pointe le risque de « fausse application TousAntiCovidVerif qui ne fait que lire les données, les enregistre et les envoie vers un autre serveur, ou les stocke en local sur une mémoire flash ». De son côté, la CNIL rappelle à Blast qu’elle a « attiré l’attention du public, à plusieurs reprises, sur la nécessité de prendre soin de n’exposer [les codes] qu’aux personnes spécialement habilitées à les contrôler ».

Double langage

Le 1er septembre, la CNIL avait donc rejeté la demande d’un nouveau passe sanitaire « ne contenant que les informations strictement nécessaires aux opérations de contrôle », assurant doctement que le dispositif était conforme « au principe de minimisation prévu par le RGPD ». Pourtant, dans une délibération du 9 septembre, la même Commission relève que « le ministère a souhaité développer un dispositif permettant la génération d’un passe sanitaire « activités » temporaire, d’une validité maximale de 48 heures, et contenant un nombre plus limité de données ». L’autorité administrative indépendante souligne dans le même temps qu’elle « accueille favorablement un tel dispositif, [et] invite le ministère à préciser le projet de décret sur les données traitées dans ce cadre »... Curieux de voir la CNIL garantir en début de mois le respect du principe de minimisation des données et se féliciter du fonctionnement du passe en cours pour signifier, quelques jours plus tard, sa préoccupation sur ce sujet, son intérêt et sa vigilance sur le développement d’une version limitant les données. À Blast, la Commission maintient que « ces deux réponses sont compatibles », puisque la version actuelle du passe conjuguée aux lecteurs officiels permet déjà « d’assurer le respect du principe de minimisation ».

Ces préparatifs d’un nouveau passe ont d’ailleurs été repérés par Florian Maury, qui explique en avoir identifié des signes dans le codage des applications gouvernementales : « Depuis le 28 août, il y a dans le code source des traces qu’on peut observer. Ils sont déjà en train de travailler sur ce qu’ils vont appeler un passe sanitaire allégé, ne contenant que l’état civil ». D’après le consultant en sécurité informatique, ce nouveau modèle pourrait être mis en service très prochainement

Ça passe ou ça casse

Cet épisode aura donc mis en lumière, du point de vue du plaignant, les contradictions de la Commission - dans ses avis et délibérations. « Il y a un énorme double langage de la CNIL, avec d’une part des experts techniques compétents et d’autre part les décisions politiques, qui ne sont pas alignées », constate Florian Maury. « Comment expliquer que la Commission se contredise de la sorte ? Pressions du gouvernement ? Autocensure ? » Difficile de trancher pour le spécialiste de la sécurité des systèmes d’information.

La patate chaude est donc désormais entre les mains du Conseil d’Etat. Au-delà des interrogations légitimes sur les avis et l’indépendance de la CNIL – et les « erreur[s] manifeste[s] d’appréciation » pointées -, la requête de Piotr Chmielnicki vise en dernier ressort le passe sanitaire en tant que tel. En cas de décision favorable du Conseil d’Etat, et donc de « la reconnaissance d’une violation du RGPD », c’est sa légitimité qui serait tout simplement remise en cause.

Pour aller plus loin : 

Revoir l'entretien d'Antoine Etcheto avec Bastien Le Querrec, membre de la Quadrature du Net 

Crédits photo/illustration en haut de page :
(c) Manuel Cohen via AFP

Soutenez Blast, le souffle de l’info

Likez, partagez, commentez

Vous souhaitez nous alerter sur un sujet ? Vous avez des infos qui vous semblent mériter que la rédaction de Blast les analyse, pour éventuellement enquêter dessus ?
Cette adresse mail vous est ouverte : enquetes.blast@protonmail.com (voir les instructions)