Dans quelques jours, le Pass Vert deviendra indispensable pour accéder aux bars, restaurants et événements. Pour le vérifier, les commerçants devront utiliser l’application VerificationC19 avec laquelle scanner les QR codes de la certification verte. Pour comprendre son fonctionnement et sa sécurité, nous avons discuté avec Riccardo Meggiato, un expert en cybersécurité et en criminalistique numérique.
Dès le 6 août commencent les contrôles du Green Pass, la certification verte qui deviendra indispensable pour l’accès aux bars, restaurants et événements, mais peut-être aussi, à partir de septembre, aux transports et même au lieu de travail. En plus du Green Pass, cependant, l’application que les autorités et les gestionnaires devront utiliser pour vérifier la validité des certifications assumera également un rôle central important. Il s’appelle VerificationC19 et est disponible pour tout le monde sur l’App Store et le Play Store, à la fois pour iOS et pour Android. Pour comprendre son fonctionnement et surtout comprendre à quel point l’application est sécurisée, nous avons discuté avec Riccardo Meggiato, expert en cybersécurité et en criminalistique numérique.
Riccardo, avez-vous eu l’occasion de jeter un œil au code VerificationC19 ? Pouvez-vous expliquer comment cela fonctionne?
C’est un contrôle qui se fait avant tout dans le plein respect de la vie privée, car il s’agit d’un processus qui n’envoie pas de données utilisateur mais vérifie uniquement une identité associée à une signature numérique. Il n’y a en fait ni comparaison ni transmission de données qui pourraient remettre en cause les données.
Avez-vous un club ? Voici comment demander à Google de supprimer les faux avis « pas de laissez-passer vert »
On parle maintenant d’une possible faille de sécurité, qu’en pensez-vous ? Est-ce vraiment aussi simple que d’ajouter une ligne de code ?
Ce type de problème a été détecté concernant la possibilité de contrefaçon des Pass Verts, mais à mon avis ce n’est pas un problème. Tout d’abord, ce mécanisme avec lequel vous allez cloner ce Green Pass est basé sur deux coïncidences : la première est que vous devez installer une application modifiée de manière appropriée, donc le modificateur doit installer une fausse application, tandis que la seconde est que vous allez pour changer ce qu’est la signature numérique. Ce n’est pas un problème car le vérificateur, qui peut être par exemple le barman, doit spécialement installer cette application pour régler quelque chose qui tombe ensuite lorsqu’un contrôleur arrive pour vérifier ces données. Alors je barman dis qu’elles sont valables, mais je pourrais aussi me passer du chèque car le problème c’est quand un vérificateur officiel envoyé par le ministère arrive qui entre dans la salle et fait un recoupement. À ce stade, l’autorité, qui a l’application d’origine, trompe le barman.
Pour le moment, l’application n’affiche que le nom et la date de naissance du vérificateur, mais avec une application modifiée, est-il vraiment possible d’accéder aux données complètes des citoyens ?
C’est tout à fait plausible, cela peut être fait car il s’agit d’une interprétation d’un QR code. On revient ici au problème de ne pas mettre le QR code sur les réseaux sociaux, car c’est fondamentalement le même principe. Clairement le thème ici est : je connais votre nom et prénom, votre code fiscal, le nombre de doses, mais qu’est-ce que j’en fais ? Personnellement, peu importe à quel point j’essaie, je ne peux pas penser à grand-chose. Je suis pour la défense de la vie privée, mais dans ce cas… Nous publions toutes les photos des deux doses sur les réseaux sociaux, et c’est bien de sensibiliser sur le sujet, mais à ce stade cela ne devient pas un problème si je le lis à partir du code QR, vous avez fait les deux doses.
Riccardo Meggiato
L’une des exigences est de travailler également hors ligne : comment fonctionne la mise à jour des données, et donc du QR code, par exemple des deuxièmes doses ?
L’application vérifie que les données sont congrues, elle n’a pas besoin de s’interfacer avec un serveur. Il vérifie que le format est valide, donc ce qu’il regarde, c’est qu’il s’agit bien d’un code congru, pas qu’il corresponde à une base de données.
Ainsi dans le QR code qui est envoyé par exemple trois jours après la première dose il est déjà écrit qu’il sera valable à partir de la date X (14 jours après la première dose) et tout est confirmé par une signature numérique qui certifie la validité du QR all App VerificationC19 ?
Justement, ils s’assurent que la signature est cohérente avec les données.
À votre avis, y avait-il une solution meilleure et plus sûre pour gérer la vérification du Green Pass ?
A mon avis ils ont fait quelque chose qui marche très bien, je n’ai pas envie de le critiquer. De plus, du point de vue de la confidentialité, il n’y avait pas de meilleure solution, car il ne se connecte à aucun type de base de données. C’est bien fait.
Bref, on peut se rassurer
A mon avis oui, dans ce cas on peut se rassurer.