Après plusieurs mois d'attente injustifiée, @IN_Groupe a enfin répondu à la demande de la CNIL de publier le code source de TousAntiCovid Verif : https://t.co/WeJJOMDvEv et https://t.co/urCt06mncq . Encore une fois, ils jouent la carte de la comédie sécuritaire burlesque…
Si vous vous attendiez à une vraie démarche open-source et transparente, vous allez être déçus. Ils expliquent dès le début qu'ils ont publié seulement les parties du code qu'ils voulaient bien montrer. De la sécurité par l'obscurité donc… https://t.co/tsDiTg0fCA
Les « raisons de sécurité » ne sont pas explicitées, mais elles sont de toute façon ridicules : n'importe qui peut lire toutes les données du QR Code du #PassSanitaire. N'importe qui peut activer le mode étendu sur TousAntiCovid Verif avec très peu de moyens et de connaissances.
N'importe qui peut créer un clone de TousAntiCovid Verif qui aspire les données des passes en tâche de fond. D'ailleurs, l'activation même du mode étendu n'a rien d'exceptionnellement dissimulé : il suffit de scanner un QR Code qui encode un JWT signé par IN Groupe.
De plus, d'autres parties du code source sont caviardées sans raison, comme la clé publique qui permet de vérifier la signature des JWT d'activation du mode étendu, l'URL et le jeton d'accès à leur API. On peut retrouver ces valeurs en 5 minutes dans l'APK, c'est ridicule 🤡. https://t.co/D7U6HC8jWp
Comme pour @TousAntiCovid, on devra se contenter de commits squashés sans description des changements ou de leur raison. Le repo est hébergé sur le GitLab de l'INRIA, on ne peut donc ouvrir des tickets que sur invitation et les pull requests sont complètement fermées. https://t.co/itDUBdMdNT
Pour couronner le tout, ils ont publié le code sous une licence propriétaire bien dégueulasse qui interdit notamment les forks et la redistribution des sources : https://t.co/0pfKeKWpAa . Une usine à gaz juridique plutôt qu'une licence simple, libre et transparente 😔 …
Je trouve par ailleurs assez cocasse (pour ne pas dire culotté) qu'ils demandent le respect d'une licence aussi complexe qu'absurde alors qu'eux-mêmes ne respectent pas les licences open-sources bien moins contraignantes des bibliothèques incluses dans TousAntiCovid Verif.
Très prompts à invoquer de prétendues « raisons de sécurité » afin de se divulguer le moins possible. Par contre, quand nos données médicales transitent par un service américain, là aucun problème de sécurité reconnu, c'est « purement politique » : https://t.co/ygUemxplIU .
(D'ailleurs, il n'est pas exclu qu'ils fassent exactement la même chose avec vos passeports et CNI : https://t.co/ZVPnVPj2Fc . Mais sûrement aucun problème de sécurité là encore…)
.@IN_Groupe, si vous voulez vraiment améliorer la sécurité de votre application, il y a pourtant des solutions un peu plus efficaces que la comédie sécuritaire et la sécurité par l'obscurité.
Par exemple, en testant votre application et en adoptant de meilleurs standards de développement, vous vous seriez sûrement aperçus que sur un téléphone Android en langue anglaise, n'importe quel 2D-DOC est considéré comme valide : https://t.co/7iwreVJI7q
Par exemple en signant la liste des certificats provenant de votre API puisqu'ils peuvent être altérés au moins par Akamai, et possiblement par une entreprise qui mettrait en place un DNS menteur et un CA d'entreprise pour ses salariés.
Par exemple, en faisant pression sur votre client pour ne pas utiliser le DCC, mais un code barre allégé qui respecte la loi du 31 mai et qui expose moins de données personnelles : https://t.co/reds4hUL6G
À titre de comparaison, l'application Suisse est entièrement libre et open-source (back-end compris) : https://t.co/IE2Q3115VJ . Ils mettent à disposition un passe sanitaire allégé en plus du DCC européen. Ils acceptent toutes les contributions extérieures.
Leur appli ne contient aucune dépendance propriétaire et est distribuée sur des stores alternatifs et pas seulement sur le store de Google et d'Apple. Bref, à défaut de faire *bien*, c'est au moins possible de faire *mieux*, mais c'est l'antithèse du modèle qu'a choisi la France.