Par Jonathan DUPRIEZ
Temps de lecture :
6 min
Publié le
Mis à jour le
Derrière l’attestation numérique du Ministère de l’Intérieur, il y a d’abord un homme. Johann Pardanaud est le développeur lyonnais à l’origine du formulaire pour obtenir l’attestation dérogatoire de déplacement numérique téléchargeable depuis le 6 avril sur le site de la Place Beauvau.
Un formulaire reconnu par les autorités cette fois. Car au début du confinement, Johann, développeur pour la société Batch, spécialisée dans l’envoi de « notifications push », avait décidé à titre personnel « de créer un générateur d’attestation en ligne pour faciliter le remplissage du formulaire » indique-t-il. Il n’est alors pas le seul sur le créneau mais son idée fait le buzz.
De son côté, le Ministère de l’Intérieur coupe court à ces innovations et interdit ce type de formulaires en ligne. Pourtant, la semaine dernière, Johann Pardanaud est contacté par le responsable innovation de la Place Beauvau pour lancer officiellement le formulaire basé sur le modèle qu’il a créé. « Nous avons vraiment axé ce projet sur la sécurité et la transparence, car le formulaire recueille des données potentiellement sensibles » reconnaît le développeur. Ces données sont-elles à l’abri d’éventuels piratages ou même d’un fichage des forces de l’ordre ?
Le Hacker Baptiste Robert, reconnu pour son expertise à l’international, a passé au crible le dispositif du Ministère de l’Intérieur. Pour lui, « l’attestation est générée proprement ». En effet, sur Twitter, le spécialiste qui officie sous le pseudonyme d’ «Elliot Alderson » note que « lorsque l’internaute visite la page du site de la Place Beauvau, une attestation vierge est téléchargée ».
Ainsi, « l’utilisateur rentre ses données et l’attestation est remplie localement » poursuit le hacker toulousain. Autrement dit, vos données personnelles, à savoir votre nom, prénom, date et lieu de naissance, adresse, ville et code postal, restent uniquement sur votre smartphone ou tablette et ne peuvent aller nulle part ailleurs. La politique de confidentialité liée au générateur d’attestation du ministère de l’Intérieur l’écrit noir sur blanc.
Ce qui amène Baptiste Robert à tirer cette conclusion plutôt rassurante : « aucune donnée personnelle n’est envoyée sur les serveurs du ministère de l’Intérieur.» Une analyse que partage sans réserve Johann Pardanaud, à l’origine du formulaire : « tout ce qui se passe sur le formulaire, reste sur le formulaire et aucune donnée n’est envoyée vers un serveur étranger. »
Idem, du côté de la CNIL qui précise que le site du Ministère de l’Intérieur « consiste à créer l’attestation de sortie en local sur le terminal de l’utilisateur, sans que ses données ne soient envoyées aux serveurs du ministère. » Une fois le formulaire rempli, l’utilisateur obtient un code QR, sorte de code-barre à usage unique qui contient les informations qu’il vient de remplir. C’est ce code que contrôlent les forces de l’ordre sur le terrain.
Comme le relève l’Obs, les forces de l’ordre sont dotées de smartphones professionnels - « Néo » pour la Police nationale et « Neogend » pour la Gendarmerie - qui permettent, via l’application « CovidReader » de lire le code QR généré par le formulaire officiel.
Selon le site spécialisé en technologie iGen, l’application « CovidReader » est une application Android sécurisée, développée par le Service des technologies et des systèmes d’information de la sécurité intérieure. Une fois le code QR scanné, seules les informations du formulaire apparaissent à l’écran (voir capture effectuée par IGen).
"Aucune information n’est collectée » selon Christophe Castaner
De nombreux internautes se sont inquiétés depuis plusieurs jours, notamment dans une boucle Whastapp virale, du possible enregistrement de ces données afin d’alimenter un fichier du Ministère de l’Intérieur. Interrogé sur le sujet le 6 avril sur Franceinfo, Christophe Castaner a fermement démenti toute collecte de données et tout fichage à partir du formulaire. « Les données saisies sont stockées exclusivement sur votre téléphone ou votre ordinateur » s’est-il défendu. « Aucune information n’est collectée par le Ministère de l’Intérieur » a-t-il ajouté.
Sur Twitter, le hacker Baptiste Robert juge le logiciel CovidReader « plus opaque » que le formulaire. « En l’absence d’analyse de l’apk - Android Package Kit, ndlr - ou du code source de Covid Reader, il est impossible d’affirmer qu’il n’y a pas de traitement de la donnée à 100% » affirme le hacker toulousain.
Toutefois, il reconnaît qu’il y a de « grandes chances » pour que l’application ne soit qu’un lecteur de code QR en l’absence de nouvelles dispositions légales prises à ce sujet en France. Pour Baptiste Robert, il serait toutefois nécessaire, « par souci de transparence », que la Place Beauvau publie le code source de l’application CovidReader afin de « lever les derniers doutes. » « Je fais confiance aux autorités » affirme de son côté David Le Bars, secrétaire général du Syndicat des commissaires de police nationale (SNCP). « Quant à ceux qui doutent de la fiabilité du système, ils sont en droit d’utiliser une attestation papier, toujours en vigueur. »
En plus du CovidReader, d’autres questions restent en suspens autour de l’attestation numérique, notamment sur l’ajout éventuel de fonctionnalités au code QR, comme la prise en compte de la distance autour du domicile par exemple. « Techniquement, on peut imaginer que ce soit possible » confirme David Le Bars qui précise ne pas être au fait d’une telle réflexion au Ministère de l’Intérieur.
« On ne sait pas non plus si l’application utilisée par les forces de l’ordre comptabilise le nombre de fois où l’on est sorti de chez soi dans une journée » s’interroge Martin Drago, juriste à La Quadrature du Net, association qui défend et promeut les droits et libertés de la population sur Internet. S’il doute que l’Etat soit en train de collecter des données hors de tout cadre réglementaire, Martin Drago rappelle que tout traitement de données personnelles mis en oeuvre par l’Etat pour sa « surêté, sa défense, sa sécurité publique » ou à des fins de « prévention et de recherche » nécessite la prise d’un arrêté d’un ministère après un avis préalable « motivé et publié » par la CNIL conformément à l’article 31 de la loi de 1978. L’association dit rester vigilante quant à d’éventuelles évolutions liées à ce fameux code QR.
Politique
Européennes 2024 : les sondages peuvent-ils encore bouger ?
Les rapports de force vont-ils rester globalement stables jusqu’au scrutin du 9 juin ? La liste PS-Place Publique de Raphaël Glucksmann peut-elle dépasser celle de la majorité présidentielle de Valérie Hayer ? Marion Maréchal va-t-elle devancer la liste LR de François-Xavier Bellamy ? Les Français vont-ils se décider au dernier moment ? Eléments de réponses avec quatre sondeurs.
Le
Politique
La présidente des députés LFI, Mathilde Panot a annoncé, mardi, sa convocation par la police dans le cadre d’une enquête pour « apologie du terrorisme » en raison d’un communiqué de son groupe parlementaire après les attaques du Hamas contre Israël le 7 octobre. Depuis la loi du 13 novembre 2014, les parquets poursuivent plus régulièrement au motif de cette infraction. Explications.
Le
Politique
Jugé définitivement coupable de détournement de fonds publics pour des emplois fictifs à l’Assemblée nationale, l’ancien Premier ministre fera l’objet d’un nouveau procès pour définir la nature de ses peines.
Le
Politique
Soutien à l’Ukraine, crise covid, Pacte vert : que retenir du bilan européen d’Emmanuel Macron ?
Alors qu’Emmanuel Macron prononcera un discours sur l’Europe, ce jeudi à La Sorbonne, retour sur le bilan de son action européenne, marquée par le soutien à l’Ukraine face à l’invasion russe.
Le
La face cachée du made in France