‘La fuite’ dans CovidScanBE s’apparente à une tempête dans un verre d’eau

Le bug sécuritaire dans l’appli de scannage des certificats corona n’est, selon Digitaal Vlaanderen, absolument pas une brèche sécuritaire. Il s’agit d’une liste publique ne contenant aucune donnée identifiable.

Un citoyen avait fait mention auprès de l’Autorité de Protection des Données (APD) d’une brèche de sécurité possible dans l’appli CovidScanBE. Cette application vous sert à démontrer que vous êtes vacciné ou que vous avez été déclaré guéri récemment du corona et ce, à l’entrée d’événements et de restaurants notamment. Cela pouvait impacter 39.000 personnes.

Malentendu

L’APD est prudente dans sa communication et évoque une ‘possible brèche sécuritaire’, mais sans donner trop de détails techniques. Digitaal Vlaanderen, qui a développé l’appli CovidScanBE dans notre pays, apporte cependant la nuance d’importance, selon laquelle il n’y a pas de problème et qu’il s’agit d’un malentendu.

Le ‘problème’ évoqué par le citoyen concerne la liste des numéros de certificats uniques entre-temps expirés. Cette liste serait accessible publiquement, mais selon Digitaal Vlaanderen, ces codes ne contiennent pas la moindre identification ou raison expliquant pourquoi le certificat est échu. ‘C’est un malentendu de dire qu’il est possible de puiser de cette liste des noms ou la raison de l’expiration’, déclare Gert De Gelder, chef de projet CovidSafe, à Data News.

La liste doit pouvoir être contrôlée publiquement

‘Nous ne considérons pas cela comme un problème de sécurité. Les numéros de certificats uniques doivent apparaître en rouge au scannage, s’ils ne sont plus valables. Ils sont alors conservés dans une liste publique, afin que l’appli puisse vérifier quotidiennement les codes qui ne s’appliquent plus. Mais il ne s’agit que de numéros de certificats, pas d’ID et pas la raison du fait qu’ils ne sont plus valables.

Selon De Gelder, il n’est pas possible de déduire sur base des (actuellement 39.000) codes/certificats qui figure sur la liste et pourquoi. Il est en outre techniquement impossible de créer de nouveaux certificats (codes QR valables) sur base des codes expirés.

L’APD n’a, selon De Gelder, pas encore pris contact avec Digitaal Vlaanderen, afin d’éclaircir cette affaire, mais l’organisation signale vouloir être totalement transparente à propos de son fonctionnement et de la manière dont l’appli traite les données personnelles.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire