Follow

Voici une analyse technique détaillée du (le qui va dire si vous pouvez rentrer dans la salle de spectacle).

broken-by-design.fr/posts/pass

Je note que l’argumentaire du gouvernement montre une ignorance de l’informatique. Le QR-code contient des informations de santé un peu précises, mais le gouvernement dit que l’ouvreur à l’entrée de la salle n’aura qu’une information binaire, « peut entrer / ne peut pas ». 1/3

Or, les informations sont dans le QR-code et n’importe qui peut les lire. La limitation à l’information binaire ne fonctionne que si l’ouvreur utilise le logiciel officiel (TousAntiCovid Vérif). S’il utilise tout autre logiciel, il pourra tout voir. Et ces autres logiciels sont nombreux puisque le format est connu. Nul besoin d’aller sur le dark machin pour les télécharger. 2/3

Croire qu’une information est secrète car le logiciel officiel ne la montre pas montre vraiment une ignorance technique sérieuse. D’où l’importance dans l’éducation au numérique, d’enseigner les notions de protocole, de format, et bien sûr de logiciel libre. 3/3

@bortzmeyer
ba c'est tout de même le ministère de Cédric 0 pointé....

Bonjour @bortzmeyer Réaction tardive, n’ayant pas vu passer.

Les applications Suisse

Covid Certificate
Covid Certificate check.

sont sur GitHub.

On trouve ici une description détaillée.

@im @bortzmeyer

Sûrement une bonne idée puisque les sources sont publiées sous licence MPL

admin-ch/CovidCertificate-App-Android is licensed under the Mozilla Public License 2.0

@pirboazo Ah oui, mais c'est un fork, j'avais pas fait gaffe, ne m'étant pas trop intéressé à cette application.

@bortzmeyer

@bortzmeyer Les gens bien ne produisent et n'utilisent que des logiciels officiels. Les autres c'est des méchants tipiaks.

@bortzmeyer
J'ai découvert ça quand j'ai scanné le QR Code de la vignette CRIT'Air de ma voiture, ya plein d'infos...

@VoronoV
C'est pour cela que je refuse la vignette critaire, y a toutes les infos notamment numéro de chassis qui permet de faire des doublettes de véhicules. La seule marque à l'exposer facilement c'est Renault toutes les autres faut ouvrir le capot pour aller le chercher exprès dans un recoin. Je préfère me prendre une prune que de devoir lutter contre une doublette qui m'enverra plein de PV pour lesquels ça sera super dur de contester.
@bortzmeyer

@wallace
C'est le numéros VIN je crois, qui est sur ma vignette, pas le numéro de châssis.
Le VIN est également lisible en clair en bas du pare-brise de ma 207.

Les doublettes les plus courantes c'est la copie d'une plaque existante posée sur une voiture de la même gamme et couleur.

@bortzmeyer

@VoronoV
Y a des trafics de carte grises quand ils vont au delà de la doublette de plaque source policière. Je sais pas comment ils se débrouillent pour le faire.
@bortzmeyer

@wallace
Oué faut faire des vraies cartes grises avec des numéros blanchis, ça implique bien souvent un employé de préfecture, voir même la police pour les gros trafics.
leparisien.fr/paris-75/trafic-

@bortzmeyer

@bortzmeyer Cela veut dire aussi que cela reporte la décision "peut entrer / ne peut pas entrer" à une entité externe à la salle de spectacle; qui va pouvoir utiliser la granularité des infos pour que telle salle autorise dans les conditions X et tel lieu autorise selon les conditions Y

Et cela est probablement bidouillable par quelqu'un de malveillant et les failles inéluctables qu'on ne connait pas encore.

@Epy Cela dépend si le calcul de la décision est fait localement, ou par le serveur. À ma connaissance, on ne le sait pas.

@bortzmeyer @Epy Y-a-til une étude équivalente du nouveau certificat (européen) ? Plus de 2D-Doc dessus, mais 2 QR codes

@bortzmeyer je note que les dates (naissance, dernière injection) ne sont pas dans un format standard.

@sintzoff C'est de l'encryptation, pour protéger les données personnelles.

@bortzmeyer

> Nous invitons les citoyens français à rejoindre cet appel et à déposer une plainte auprès de la CNIL 🤔

cnil.fr/fr/modeles/courrier

et ...

@bortzmeyer Je propose une implémentation alternative qui respecterait cette spécification : pour les gens qui peuvent entrer, on leur donne un gros pixel blanc, et pour les autres un gros pixel noir. Pas d'information cachée, tout est transparent.

Je trouve ça fou que l'État puisse nous prendre pour des cons à ce point : indiquer qu'il n'y a aucune information personnelles dans un QR-code bourré d'informations personnelles.

Après, c'est un truc français, ça : la quantité de formulaires administratifs à la con qui demandent des informations qui n'ont rien à voir avec le Schmilblick (genre, adresse, nom de jeune fille, etc.). La thématique de la vie privée a beaucoup de retard 😩

Sign in to participate in the conversation
Mastodon - Gougère Network

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!