TousAntiCovid Verif，健康通行證失敗的籃子

6 月 9 日更新

01net.com聯絡IN Groupe時向我們證實，每次驗證時，2D-DOC資料確實被發送到中央伺服器，但不會儲存任何個人資訊。「由於不同目的地國家/地區實施的規則存在差異和波動性，與國際旅行（通航）相關的使用需要能夠在個人資料匿名化後驗證遠端伺服器上證據的有效性。 CNIL 在 2021 年 6 月 7 日的審議中判定這種使用符合 GDPR”IN Groupe 解釋。然而，該公司承認，對於超過 1000 人的全國性活動，這種數據交換並不是真正必要的。“這就是為什麼 TAC Verif 正在進行更新以允許在智慧型手機上進行本地驗證”，強調 IN Groupe。

IN Groupe也確認使用了Akamai伺服器，但據IN Groupe稱，不會有任何問題。「Akamai 解決方案是一個用於監控和管理系統安全的平台。特別是，它可以對抗拒絕服務攻擊。它列在 ANSSI 目錄中。 IN Groupe 與 Akamai 簽訂了協議，保證僅使用 Akamai 的歐洲伺服器。IN Groupe 解釋。

最後，IN Groupe 告訴我們，它已經使用了“臨時”技術報告工具，例如 Crashlytics。「測試階段已經完成，報告工具已從應用程式中刪除。此更新正在進行中 »，IN Groupe 告訴我們。而且，「IN Groupe 已同意 INRIA 發布該應用程式的原始程式碼。這將在未來幾天內公開”。經過這一系列的後退，我們終於可以安心地使用 TACV 了。

文章發表於6月8日

乍一看，當您在機場或表演廳入口處出示您的檢測和疫苗接種記錄時，沒有理由擔心。因為用於檢查測試或疫苗接種或康復證書有效性的 TousAntiCovid Verif (TACV) 應用程式不允許“顯示包含在QR 圖文檔。檢查期間不進行任何轉讓或分享 »，正如我們可以讀到的一份文件涉及本申請資料的保密性，其作者為IN Groupe，換句話說是Imprimerie natione。

閱讀這句話，我們的印像是該驗證完全在存取控制器的智慧型手機上本地進行，但事實並非如此。
幾名駭客分析了該應用程式的行為，發現該驗證實際上是遠端完成的。“2D-DOC 的所有內容都發送到 IN Groupe 伺服器，該伺服器返回驗證結果”，向我們解釋« 吉爾布斯吉爾布斯 »，一位熱衷於逆向工程的開發人員。

他甚至透過兩種不同的方式驗證了這種資訊傳輸：反編譯應用程式和「中間人」類型的攻擊。
因此，將由 TACV 測試的所有 2D-DOC 將與 IN Groupe 共用。當然，該公司強調，沒有“禁止錄音或儲存”，但這句話可能只適用於行動應用，而不適用於底層伺服器。還不是很清楚。

GilbsGilbs 並不是唯一偵測到這種資料傳輸的人。電腦科學家弗洛里安·莫里和彼得·奇米爾尼基也看到了。至此，我們仍然可以說，事情並沒有那麼嚴重。畢竟，法國國民政府是一家 100% 由法國政府擁有的私人公司，是我們可以信賴的國家主權的行動者。

資料未加密地傳遞至 Akamai

不幸的是，美國第三方公司也可以存取TACV讀取的2D-DOC資料。據 GilbsGilbs 稱，該應用程式透過 HTTPS 請求發送整個 2D-DOC。但這種安全連線並沒有結束於 IN Groupe，而是結束於其服務提供者 Akamai（代理伺服器提供者）。
因此，這家美國公司將看到所有 2D-DOC 在其伺服器上均未加密傳輸。因此，它可以秘密收集數百萬法國人的醫療數據，這對 GDPR 來說似乎並不合適。

此外，TACV 應用程式使用第三方和專有程式設計接口，例如 Google Firebase 或 Crashlytics。