Le ministère de l'Intérieur a mis en ligne une version numérique de l'attestation de déplacement dérogatoire, que l'on peut générer grâce à un formulaire en ligne. Selon les vérifications de France Inter, ce générateur respecte nos données personnelles.

Selon les vérifications effectuées par France Inter, le formulaire ne semble pas sauvegarder les données personnelles que les utilisateurs saisissent.
Selon les vérifications effectuées par France Inter, le formulaire ne semble pas sauvegarder les données personnelles que les utilisateurs saisissent. © Radio France / Xavier Demagny

Plus besoin du papier ni du crayon. Lundi matin, le ministère de l'Intérieur a mis en ligne une nouvelle forme d'attestation pour sortir de chez soi en ces temps de confinement, évitant ainsi d'avoir à imprimer le document et à le remplir manuellement. Le formulaire propose ainsi de remplir les différents champs (prénom, nom, date et lieu de naissance, adresse, date et heure de sortie) et d'indiquer la date et l'heure de la sortie prévue. Il génère ensuite un document PDF rempli auquel s'ajoute un "QR Code", forme de code-barre carré dont les points définissent l'information qu'il contient. Mais ce générateur est-il sécurisé ? Nos données personnelles sont-elles sauvegardées au passage ? 

Que disent les autorités ?

"Aucune donnée saisie" n'est conservée a affirmé Christophe Castaner, ministre de l'Intérieur, lundi sur franceinfo, à propos de cette nouvelle attestation de déplacement dérogatoire, qui ne remplace pas pour autant la version papier, toujours utilisable. Les conditions d'utilisations du formulaire sont d'ailleurs précisées dans la page "politique de confidentialité". "Une fois rempli, le formulaire émet un fichier PDF avec un QR code. Les forces de l'ordre peuvent le scanner à distance et aucune donnée saisie n'est intégrée dans un fichier. Rien n'est stocké, aucun fichier n'est constitué", a expliqué Christophe Castaner.   

Le formulaire enregistre-t-il nos données ?

Selon les vérifications effectuées par France Inter, le formulaire ne semble pas, en effet, sauvegarder les données personnelles que les utilisateurs saisissent. Une analyse confirmée par plusieurs spécialistes de la question, développeurs web ou experts en cyber-sécurité. 

En effet, la génération du formulaire est réalisée "proprement" via un script, un programme, directement dans le navigateur du téléphone ou de la tablette. Le document PDF modèle est téléchargé, le script génère le QR code et rajoute les informations saisies ainsi que la date et l'heure de création de l'attestation. On peut ensuite l'enregistrer, mais l'URL virtuelle générée pour cela n'est utilisable qu'une seule fois.   

"Durant la génération, aucune info personnelle n'est envoyée sur le site du ministère de l'Intérieur. La première étape, pour récupérer le formulaire vierge, a besoin du réseau. Mais tout le reste est fait en local dans le téléphone donc pour cette partie, il n'y a rien à dire sur le plan de la vie privée, les données ne sortent pas de votre terminal", explique Baptiste Robert, hacker français et chercheur en cybersécurité. 

Plusieurs cookies (des fichiers conservés par votre navigateur qui peuvent mémoriser des informations) sont utilisés par le formulaire mais pour sa sécurité et sans danger pour les données saisies.   

Que contient le QR code et est-il chiffré ?

Les données du QR code ne sont, elles-même, pas chiffrées. Il est enfantin de le vérifier: si vous avez un autre téléphone, scannez l'attestation générée avec l'appareil photo de votre mobile ou une application pour pouvoir l'interpréter. S'afficheront ainsi les informations que vous venez de rentrer dans le formulaire. 

"Si on parle de chiffrement, de clé, de signature, on a obligation de communiquer avec un serveur. Si l'on veut être le plus propre possible, c'est très compliqué dans ces temps de développement", analyse Baptiste Robert. 

Le QR code n'est pas chiffré et l'on peut vérifier les données qu'il contient.
Le QR code n'est pas chiffré et l'on peut vérifier les données qu'il contient. / Capture d'écran

Comment fonctionne l'application des forces de l'ordre ? 

L'autre partie du dispositif concerne l'application Covid Reader utilisée par les forces de l'ordre et développée pour l'occasion par le STSI2, le Service des technologies et des systèmes d'information de la sécurité intérieure. Elle a été installée sur les terminaux mobiles "NEO", des téléphones et tablettes Sony, connectés en haut-débit sécurisé et utilisés au quotidien par les policiers et gendarmes (PV, lectures des pièces d'identité notamment).  

ll s'agit a priori d'une application basique de lecture de QR Code grâce à l'appareil photo, comme l'affirme le site spécialisé iGen qui a diffusé des copies d'écran de l'application. Elle ne fait que mettre en forme les informations contenues dans le code et que avons pu afficher de façon basique plus haut dans cet article.  

Sauvegarde-t-elle les informations scannées ?

Mais si le formulaire de génération de l'attestation n'enregistre pas de données personnelles, cette application est-elle aussi respectueuse ? "Aucune trace n'est conservée ou enregistrée sur un quelconque serveur (...) ni sur les tablettes et smartphones NEO dont sont équipés les policiers et gendarmes", assure le ministère de l'Intérieur au magazine spécialisé Numérama

C'est pourtant là que se situent les doutes de Baptiste Robert. Car si le code du générateur est inspectable, celui de l'application ne n'est pas. "Le souci, c'est que personne n'a accès à cette application et on ne peut pas l'analyser, à part quelques copies d'écran. Si on peut voir qu'il n'y a pas d'analyse supplémentaire que l'affichage des informations, il serait opportun que le ministère publie le code source de l'application, dans un souci de transparence."  

Il alerte également sur une potentielle mise à jour de cette application, tout en nuançant : "S'il y avait traitement de données personnelles, cela donnerait lieu à un décret et une publication au Journal officiel, ce qui n'est pas le cas.

Est-ce le début du traçage numérique, avant le déconfinement ?

Pour l'instant l'attestation en ligne ne sert pas à ça mais des améliorations pourraient y contribuer. "Nous sommes dans un combat long et difficile et il faudra s'appuyer sur toutes les intelligences, le numérique peut contribuer à cela. Aujourd'hui, nous travaillons à regarder ce qui se fait et à envisager la mise en place d'outils à la seule condition essentielle, c'est que nous ne renoncions jamais aux principes auxquels nous sommes attachés et la liberté individuelle fait partie de ces principes-là", a estimé Christophe Castaner, lundi matin. 

Ce contenu n'est pas ouvert aux commentaires.