TousAntiCovid Verif，健康通行证失败的篮子

6 月 9 日更新

01net.com联系IN Groupe时向我们证实，每次验证时，2D-DOC数据确实被发送到中央服务器，但不会存储任何个人信息。“由于不同目的地国家/地区实施的规则存在差异和波动性，与国际旅行（通航）相关的使用需要能够在个人数据匿名化后验证远程服务器上证据的有效性。 CNIL 在 2021 年 6 月 7 日的审议中判定这种使用符合 GDPR”IN Groupe 解释道。然而，该公司承认，对于超过 1000 人的全国性活动，这种数据交换并不是真正必要的。“这就是为什么 TAC Verif 正在进行更新以允许在智能手机上进行本地验证”，强调 IN Groupe。

IN Groupe也确认使用了Akamai服务器，但据IN Groupe称，不会有任何问题。“Akamai 解决方案是一个用于监控和管理系统安全的平台。特别是，它可以对抗拒绝服务攻击。它列在 ANSSI 目录中。 IN Groupe 与 Akamai 达成协议，保证仅使用 Akamai 的欧洲服务器。IN Groupe 解释道。

最后，IN Groupe 告诉我们，它已经使用了“临时”技术报告工具，例如 Crashlytics。“测试阶段已经完成，报告工具已从应用程序中删除。此更新正在进行中 »，IN Groupe 告诉我们。而且，“IN Groupe 已同意 INRIA 发布该应用程序的源代码。这将在未来几天内公开”。经过这一系列的后退，我们终于可以安心地使用 TACV 了。

文章发表于6月8日

乍一看，当您在机场或表演厅入口处出示您的检测和疫苗接种记录时，没有理由担心。因为用于检查测试或疫苗接种或康复证书有效性的 TousAntiCovid Verif (TACV) 应用程序不允许“显示包含在二维文档。检查期间不进行任何转让或共享 »，正如我们可以读到的一份文件涉及本申请数据的保密性，其作者是IN Groupe，换句话说是Imprimerie natione。

阅读这句话，我们的印象是该验证完全在访问控制器的智能手机上本地进行，但事实并非如此。
几名黑客分析了该应用程序的行为，发现该验证实际上是远程完成的。“2D-DOC 的所有内容都发送到 IN Groupe 服务器，该服务器返回验证结果”，向我们解释« 吉尔布斯吉尔布斯 »，一位热衷于逆向工程的开发人员。

他甚至通过两种不同的方式验证了这种信息传输：反编译应用程序和“中间人”类型的攻击。
因此，将由 TACV 测试的所有 2D-DOC 将与 IN Groupe 共享。当然，该公司强调，没有“禁止录音或存储”，但这句话可能只适用于移动应用，而不适用于底层服务器。还不是很清楚。

GilbsGilbs 并不是唯一检测到这种数据传输的人。计算机科学家弗洛里安·莫里和彼得·奇米尔尼基也看到了。至此，我们仍然可以说，事情并没有那么严重。毕竟，法国国民政府是一家 100% 法国政府所有的私营公司，是我们可以信赖的国家主权的行动者。

数据未加密地传递至 Akamai

不幸的是，美国第三方公司也可以访问TACV读取的2D-DOC数据。据 GilbsGilbs 称，该应用程序通过 HTTPS 请求发送整个 2D-DOC。但这种安全连接并没有结束于 IN Groupe，而是结束于其服务提供商 Akamai（代理服务器提供商）。
因此，这家美国公司将看到所有 2D-DOC 在其服务器上均未加密传输。因此，它可以秘密收集数百万法国人的医疗数据，这对于 GDPR 来说似乎并不合适。

此外，TACV 应用程序使用第三方和专有编程接口，例如 Google Firebase 或 Crashlytics。