Générateur d'attestation de déplacement - Ministère de l'Intérieur - 2020

Confinement : le générateur officiel d’attestation en ligne vous traque-t-il ?

Dernière édition le 20 avril 2020 à 17:50 - Relecture par Lina Fourneau , correction par Nelly Pailleux , coordonné par Tim Vinchon

C'est faux

En bref

Depuis le 6 avril, le ministère de l'Intérieur permet de générer son attestation de déplacement dérogatoire directement en ligne, via un site officiel accessible notamment depuis un mobile. De nombreuses craintes ont été émises concernant la collecte de données par les autorités, via ce procédé numérique. Alors doit-on craindre d'être pistés par cette méthode ?

L’attestation de déplacement, dans le cadre du confinement lié à la lutte contre la pandémie de coronavirus, peut, depuis le lundi 6 avril 2020, [être générée et téléchargée directement sur son smartphone, son ordinateur ou sa tablette](https://media.interieur.gouv.fr/deplacement-covid-19/). Un dispositif dont l’aspect pratique pourrait faciliter la vie de nombre de citoyens confinés, mais qui est cependant accueilli avec plus de pragmatisme et de craintes par les défenseurs de la sécurité des données personnelles et de la protection de la vie privée.

  Tout commence par un petit couac au début du confinement. Dès le 17 mars 2020, [de nombreux sites et applications](https://cyberguerre.numerama.com/4011-nous-avons-analyse-6-generateurs-web-dattestation-de-deplacement-sont-ils-dangereux.html) ont proposé de fournir cette attestation au format numérique. [Tolérées](https://www.numerama.com/tech/612262-attestation-de-deplacement-sur-smartphone-le-gouvernement-retropedale-seul-le-papier-est-valable.html) dans un premier temps, ces attestations ont vite été refusées par le ministère de l’Intérieur qui, dès le 18 mars, optait pour le papier exclusivement, [invoquant au micro de TF1](https://twitter.com/CCastaner/status/1240377676977897476?s=20), le risque de _«_ _phishing des données »_.

  Il s’agissait également de ne pas « faciliter la vie des Français qui veulent sortir le plus librement possible ». Près de trois semaines plus tard, le gouvernement, conscient de l’allongement progressif de la période de confinement, décide de mettre à disposition une attestation numérique, qui sera disponible exclusivement sur le site du ministère de l’Intérieur. « Désormais, les Français se sont approprié les règles du confinement, il convient donc de leur donner un peu de souplesse avec cet outil » a déclaré Christophe Castaner, le 2 avril 2020, au Parisien.

  Plusieurs questions se posent cependant avec le téléchargement de cette attestation en ligne. Si la crainte de collecte des données par des entreprises ou des individus malveillants semble évacuée, qu’en est-il de la collecte de celles-ci par l’État, alors même que le débat sur la surveillance des citoyens fait rage jusqu’au sein de la majorité présidentielle ?

Générateur en ligne d'attestation de sortie 

Pour y répondre, il convient tout d’abord de décomposer le dispositif. Côté utilisateur, il est constitué d'un **générateur de PDF qui reprend le texte de l'attestation et d'un outil de création de code barre en deux dimensions appelé QR Code**, accessible sur le site du ministère. À l'autre bout du dispositif, les forces de l'ordre disposent d'un **lecteur de ce QR Code, appelé _CovidReader,_ installé sur leurs téléphones professionnels. En scannant le code QR, qui s'affiche sur l'attestation numérique de la personne contrôlée, l'agent peut connaître son nom, son adresse et le motif allégué pour le déplacement.**

Qui a développé le générateur d'attestation ?

 

 Le générateur d'attestation est ce qu'on appelle une « web application », c'est-à-dire une application utilisable directement en ligne grâce à un navigateur web et qui ne nécessite donc pas d'installation sur les ordinateurs ou les smartphones. Cette application permet néanmoins de générer une attestation en format PDF qui se télécharge sur le mobile, la tablette ou l'ordinateur de la personne qui a eu recours au générateur en ligne.

Cette « web app » se base sur le travail de Johann Pardanaud, développeur chez Batch, service de notifications pour les entreprises (les notifications d'information envoyées par les applications mobiles notamment). Elle a été développée indépendamment de son activité professionnelle. « Je ne l’ai pas créée pour inciter les gens à sortir à tout-va, juste pour faciliter la vie de ceux qui ont vraiment besoin de sortir, pour travailler ou faire des courses », rappelle-t-il à Journalistes Solidaires. Très attaché à la transparence, il a développé la web application en rendant son code open-source pour que « les personnes qui s'y connaissent puisse le consulter et confirmer qu'il n'y a pas de problème » et garantir que « n'importe qui peut contribuer à l’améliorer ». Cette base de code a été reprise par le Lab MI, l'incubateur du ministère de l'Intérieur, qui l’a agrémentée de nouvelles fonctions, dont le QR Code. Ce code barre amélioré permet aux officiers de police de ne pas à voir à toucher l'ordinateur, le mobile, ou la tablette lors d’un contrôle et de garantir des fonctionnalités d’accessibilité, pour les déficients visuels par exemple. Johann Pardanaud se veut rassurant sur cette nouvelle application : « si mon code a été repris, c'est que le ministère a cette volonté de transparence et ils se sont dit que ce serait intéressant de continuer sur la même lancée ».

Les données entrées dans les formulaires par les internautes sont-elles envoyées au ministère de l'Intérieur lors de la génération de l'attestation ?

Le site du ministère de l’Intérieur précise dans sa politique de confidentialité que « les informations saisies dans ce générateur d’attestation de déplacement ne font l’objet d’aucune collecte par le ministère de l’Intérieur. Ces données personnelles sont exclusivement stockées dans le terminal (ordinateur, tablette, smartphone) utilisé pour générer l’attestation. » François Best, développeur indépendant qui a analysé le code de la web application lorsqu’il a été dévoilé le 6 avril 2020 au soir, confirme à Journalistes Solidaires qu'il n'y a « pas de souci à se faire, tout reste sur le téléphone, il n'y a pas d'envoi de données, aucun fichage numérique ou quoi que ce soit ». Il n'y a aucune crainte du côté du code de l'application en ligne. Ses seuls doutes viennent du choix d'un hébergeur américain, appelé Content Delivery Network, pour garantir que l'application en ligne reste accessible même en cas de pic d'utilisation : « le service qui est au milieu (...) s'occupe de faire la mise en cache de l'application pour la livrer à 60 millions de personnes d'un coup. Ils utilisent des cookies qui eux peuvent potentiellement pister. » En vérifiant le contenu de ces petits fichiers récupérés par l'hébergeur, il constate cependant qu'aucune information personnelle du contenu du formulaire n’est envoyée à un tiers ; en revanche un « log » contenant l’adresse IP et le type de machine qui a généré l'attestation est enregistré.

Que sait-on de l’application CovidReader, utilisée par les forces de l’ordre pour contrôler ces attestations numériques ?

Capture d’écran de l’applications CovidReader, fournies par le site spécialisé iGen.

Les forces de l’ordre contrôlent les attestations en scannant les QR Codes à l’aide de leur application CovidReader. À l’heure actuelle, peu d’informations sont disponibles. Développée par le ST(SI)² [service des technologies et des systèmes d'information de la Sécurité intérieure], le code source de cette application n’a pas été publié car celle-ci est réservée aux forces de l'ordre et disponible uniquement sur leur magasin d'applications professionnelles sécurisé. « C'est embêtant, car lorsqu'on veut mettre de la transparence dans ce type de dispositif, il est toujours bon de publier le code source ou de mettre à disposition l’application. » relève Baptiste Robert, expert en cybersécurité qui s’est lui aussi penché sur le sujet. Mais c’est, selon lui, « un point d’échauffement à dépasser ». Il a pu avoir accès à l’application [le site spécialisé iGen a également publié des captures d’écrans de l’application] et l’interface est celle d’un simple lecteur de QR Code. Au-delà ce qu'il considère pourtant comme un survol rassurant de l’application, il renvoie à la législation pour rassurer sur les capacités de cet outil : « Nous sommes toujours dans un État de droit. L'état d'urgence sanitaire n'abroge pas la loi sur les libertés individuelles. S’il y avait traitement de données personnelles, il y aurait forcément un décret qui devrait passer en Conseil d'État et être publié au Journal officiel », si tel n'est pas le cas, c'est que le scanner de code-barre ne traite pas de données, sous peine d'être illégal.

  

Les forces de l’ordre peuvent-elles connaître la quantité de mes sorties ? Des croisements avec d'autres bases de données sont-ils possibles ?

  À l’heure actuelle et au vu des éléments analysés par les différents experts, _CovidReader_ n’a pas de fonctionnalités avancées permettant le traitement de données. Les forces de l’ordre, à l’aide de cette application, ne peuvent que contrôler les informations de l’attestation dérogatoire de déplacement. Bien entendu, si l’attestation n’est pas en règle, le citoyen encourt une amende et les agents auront une trace de cette verbalisation.

  _« Il faudra cependant être vigilant sur une potentielle update de CovidReader »_, indique Baptiste Robert. Une mise à jour répondant pr exemple à un besoin des forces de l'ordre qui lui ont déjà reproché ce manque de croisement des bases, alourdissant le travail de l’agent. Les forces de l'ordre ont fait part de cette pénibilité [dans une tribune de l’Association Professionnelle Nationale Militaire Gendarmes et Citoyens](https://www.assogendarmesetcitoyens.com/post/covidreader-une-application-de-contr%C3%B4le-des-attestations-qr-code-perfectible) : _«_ _Dans la version mise en production le 04/04/2020, l’application CovidReader permet seulement de contrôler la validité des attestations. Aucun lien n’est établi entre les éléments d’identité et l’application messagerie tactique pour le contrôle au FPR_ [Fichier des personnes recherchées]_. Aucun lien ne permet de passer la personne sur ADOC_ [Accès au dossier des contraventions] _en cas d’infraction. »_ Baptiste Robert se veut pourtant serein sur ce point : _«_ _L'équipe du ministère de l’Intérieur a dit qu'elle y réfléchissait, mais ce n'est pas encore implémenté et cela nécessiterait un décret. »_

  

Fiche Enquête

La fiche ci-dessous résume le parcours et la méthodologie employés pendant notre enquête.

Information

Vérifiée et fausse

Première apparition sur le web
06 Apr 2020
Dernière modification de la fiche de l'enquête
4 mai 2021 à 16:52
Lieu de publication constaté
Twitter
Actions entreprises par les journalistes

Nous identifions le créateur d'une des librairies utilisée par le dispositif du gouvernement, dont le projet a été repris par les autorités. Nous l'interviewons pour recueillir son avis et ses potentielles craintes sur l'usage qui en est fait par le ministère de l'Intérieur français.

Nous interviewons François Best, développeur web et Baptiste Robert, spécialiste en cybersécurité et hacker, qui ont analysé le code du dispositif de génération de PDF à sa sortie et l'application CovidReader.

Nous recueillons des données sur la non-utilisation de JavaScript dans le navigateur, une faille qui pourrait prétendument permettre de recueillir des données des utilisateurs, pour évaluer la gravité de cette brèche. Après interview des deux experts, il en ressort que ce point est mimime – la quasi-totalité des utilisateurs utilisant JavaScript.

Nous cherchons à identifier si cette web application est un premier pas vers une forme de surveillance numérique, crainte de nombreux défenseurs des droits individuels en Europe.

Pistes et conclusions

Le code source final a été publié par le ministère de l'Intérieur. https://t.co/JbkBCTYmIa

Les interviews sont en cours pour nous permettre d'établir nos conclusions.

Equipe Journalistes Solidaires

Amaury Lesplingart

Tim Vinchon

Alice Carel

© Journalistes Solidaires

Report a bug - Design & Code by Amaury - Powered by Airtable