🇫🇷 La préfecture du Calvados a annoncé une "expérimentation volontaire" du Pass Sanitaire dès aujourd’hui dans les bars et restaurants de Deauville et Trouville "pour faire face à une forte augmentation du nombre de cas de COVID-19".
📱 Pourquoi on ne peut pas fabriquer son propre QR code de vaccination Pass Sanitaire :
Tout d'abord, on va prendre un exemple que j'utilise souvent pour illustrer la signature cryptographique : vous allez à la mairie pour faire certifier un document papier.
Ce scénario de la vie réelle a de nombreux parallèles avec les signatures numériques !
Quand vous allez faire certifier une signature en mairie, vous apportez un document déjà rempli et signé, et l'agent de mairie appose un tampon officiel de la ville.
(Je l'ai déjà fait qq fois, ils ont une presse pour imprimer le logo en relief dans le papier c'est très cool)
Pourquoi peut-on faire confiance à ce processus de certification en mairie ? Parce qu'il est difficile à falsifier.
Pour obtenir un document certifié de manière illégitime, plusieurs options (toutes difficiles) :
- Voler le tampon de certification
- Corrompre un employé de mairie
- Créer une copie parfaite du tampon
- Voler le document certifié de quelqu'un d'autre
Le Pass Sanitaire, c'est quasiment la même chose, mais en version numérique et encore plus sécurisé !
Au lieu d'un cachet à l'encre sur un document papier, l'administration va apposer ce qu'on appelle une signature cryptographique.
Tout d'abord, on va prendre un exemple que j'utilise souvent pour illustrer la signature cryptographique : vous allez à la mairie pour faire certifier un document papier.
Ce scénario de la vie réelle a de nombreux parallèles avec les signatures numériques !
Quand vous allez faire certifier une signature en mairie, vous apportez un document déjà rempli et signé, et l'agent de mairie appose un tampon officiel de la ville.
(Je l'ai déjà fait qq fois, ils ont une presse pour imprimer le logo en relief dans le papier c'est très cool)
Pourquoi peut-on faire confiance à ce processus de certification en mairie ? Parce qu'il est difficile à falsifier.
Pour obtenir un document certifié de manière illégitime, plusieurs options (toutes difficiles) :
- Voler le tampon de certification
- Corrompre un employé de mairie
- Créer une copie parfaite du tampon
- Voler le document certifié de quelqu'un d'autre
Le Pass Sanitaire, c'est quasiment la même chose, mais en version numérique et encore plus sécurisé !
Au lieu d'un cachet à l'encre sur un document papier, l'administration va apposer ce qu'on appelle une signature cryptographique.
📱Ce genre de signature, on les utilise en permanence dans le monde numérique.
C'est par exemple ce que votre ordi utilise dans le protocole HTTPS (le petit cadenas !) pour vérifier que votre interlocuteur est bien twitter.com et non un attaquant qui intercepte le trafic réseau.
C'est par exemple ce que votre ordi utilise dans le protocole HTTPS (le petit cadenas !) pour vérifier que votre interlocuteur est bien twitter.com et non un attaquant qui intercepte le trafic réseau.
📱 Entrons enfin dans le vif du sujet : une signature cryptographique, comment ça marche ?
Tout d'abord, on va parler des clés asymétriques. On a deux clés A et B, liées par des propriétés mathématiques (je vous passe les détails) et complémentaires l'une de l'autre.
(j'en profite pour signaler que j'assume pleinement mon design graphique pas génial fait avec Paint, mais désolé pour le choix de couleurs qui n'est sûrement pas top pour l'accessibilité)
Tout d'abord, on va parler des clés asymétriques. On a deux clés A et B, liées par des propriétés mathématiques (je vous passe les détails) et complémentaires l'une de l'autre.
(j'en profite pour signaler que j'assume pleinement mon design graphique pas génial fait avec Paint, mais désolé pour le choix de couleurs qui n'est sûrement pas top pour l'accessibilité)
📱Ces deux clés sont utilisées pour transmettre des informations entre les détenteurs de ces deux clés, de manière chiffrée (les non-initiés disent souvent "crypté", mais en réalité ce mot n'existe pas !)
Si vous comprenez ce schéma, vous avez fait le plus dur 😉
"Mais dis-moi Jamy, comment on utilise ces clés pour vérifier la validité du pass sanitaire ?"
Eh bien c'est tout simple : l'entité qui crée le certificat (en France c'est l'Assurance Maladie) garde la clé A et distribue publiquement la clé B à tout le monde.
Si vous comprenez ce schéma, vous avez fait le plus dur 😉
"Mais dis-moi Jamy, comment on utilise ces clés pour vérifier la validité du pass sanitaire ?"
Eh bien c'est tout simple : l'entité qui crée le certificat (en France c'est l'Assurance Maladie) garde la clé A et distribue publiquement la clé B à tout le monde.
📱Ici, seule l'Assurance Maladie est en mesure de créer des attestations car c'est la seule à détenir la clé privée.
Pour vérifier la validité d'un pass sanitaire, l'appli TousAntiCovid Vérif utilise la clé publique, qui est commune à tous et disponible publiquement.
Et la seule manière de créer une donnée qui se déchiffre correctement avec la clé publique, c'est de posséder la clé privée correspondante. Donc tant que la clé privée de l'Assurance Maladie reste entre de bonnes mains, impossible de fabriquer soi-même un pass sanitaire !
Pour en revenir au parallèle de la certification de signature, ici le tampon magique c'est la clé privée, qui permet de certifier de manière sûre la provenance du certificat !
Les 4 attaques du système papier se retrouvent sur la signature électronique. Pour obtenir un pass sanitaire illégitime, on peut :
- Voler la clé privée
- Corrompre un personnel de vaccination
- Créer une copie parfaite de la clé privée
- Copier le pass sanitaire de qqn d'autre
Pour vérifier la validité d'un pass sanitaire, l'appli TousAntiCovid Vérif utilise la clé publique, qui est commune à tous et disponible publiquement.
Et la seule manière de créer une donnée qui se déchiffre correctement avec la clé publique, c'est de posséder la clé privée correspondante. Donc tant que la clé privée de l'Assurance Maladie reste entre de bonnes mains, impossible de fabriquer soi-même un pass sanitaire !
Pour en revenir au parallèle de la certification de signature, ici le tampon magique c'est la clé privée, qui permet de certifier de manière sûre la provenance du certificat !
Les 4 attaques du système papier se retrouvent sur la signature électronique. Pour obtenir un pass sanitaire illégitime, on peut :
- Voler la clé privée
- Corrompre un personnel de vaccination
- Créer une copie parfaite de la clé privée
- Copier le pass sanitaire de qqn d'autre
📱 Voler la clé privée relève du quasi-impossible vu les protections mises en place.
Il est théoriquement possible de recréer la clé privée à partir de la clé publique, mais ça prendrait des milliards d'années même sur le plus puissant des supercalculateurs !
Donc les deux options qui restent sont de corrompre un soignant ou de voler le pass de quelqu'un d'autre, mais ces problèmes ne relèvent pas de la cybersécurité et sont difficiles à éliminer quel que soit le système (papier ou électronique) choisi !
Il est théoriquement possible de recréer la clé privée à partir de la clé publique, mais ça prendrait des milliards d'années même sur le plus puissant des supercalculateurs !
Donc les deux options qui restent sont de corrompre un soignant ou de voler le pass de quelqu'un d'autre, mais ces problèmes ne relèvent pas de la cybersécurité et sont difficiles à éliminer quel que soit le système (papier ou électronique) choisi !
Media is too big
VIEW IN TELEGRAM
🇫🇷 Lors de la manifestation Anti-pass sanitaire Un Général 3 étoiles, venu du sénat par solidarité à la rencontre de simples citoyens, ce samedi 23 juillet 2021 vers 18h30..
✊Rejoins nous pour ne rien rater : http://t.me/compzfr
✊Rejoins nous pour ne rien rater : http://t.me/compzfr
🇫🇷 La Police aura accès au Fichier des Dépistages Covid !
Officiellement, pour connaître les personnes testées positives au Covid et leur faire respecter l’obligation de 10 jours d’isolement à domicile...
À lire : https://www.publicsenat.fr/article/parlementaire/la-cnil-s-inquiete-que-le-fichier-des-depistages-covid-devienne-un-fichier
✊Rejoins nous pour ne rien rater, l’union fait la force : http://t.me/compzfr
Officiellement, pour connaître les personnes testées positives au Covid et leur faire respecter l’obligation de 10 jours d’isolement à domicile...
À lire : https://www.publicsenat.fr/article/parlementaire/la-cnil-s-inquiete-que-le-fichier-des-depistages-covid-devienne-un-fichier
✊Rejoins nous pour ne rien rater, l’union fait la force : http://t.me/compzfr
🇫🇷 Les sénateurs veulent repousser du 30 août au 15 septembre la mise en place de ce Pass Sanitaire pour les lieux publics, aussi bien pour les personnels que pour les usagers
🇫🇷 Le Sénat a en outre voté un amendement PS pour que les mineurs de 16 et 17 ans puissent se faire vacciner sans autorisation parentale
🇫🇷 Jusqu’à 10 000 euros d’amendes cumulées durant les couvre-feux : des jeunes de quartiers dénoncent un harcèlement
Des familles entières se retrouvent endettées à cause de salves de contraventions liées aux mesures sanitaires. Des associations dénoncent un « phénomène d’ampleur grandissante » et « une application disproportionnée et discriminatoire des mesures ».
https://www.mediapart.fr/journal/france/210721/jusqu-10-000-euros-de-contraventions-des-jeunes-de-quartiers-denoncent-un-harcelement-policier-l-occasion
Des familles entières se retrouvent endettées à cause de salves de contraventions liées aux mesures sanitaires. Des associations dénoncent un « phénomène d’ampleur grandissante » et « une application disproportionnée et discriminatoire des mesures ».
https://www.mediapart.fr/journal/france/210721/jusqu-10-000-euros-de-contraventions-des-jeunes-de-quartiers-denoncent-un-harcelement-policier-l-occasion
🇨🇩 Ce samedi 24 juillet, un jeune étudiant congolais a été abattu à Kinshasa, par un policier. Ce dernier lui reprochait de ne pas porter de masque.
Le jeune homme qui s’appelait Honoré Shama était un étudiant de la faculté des lettres de l’Université de Kinshasa (République démocratique du Congo), comme l’a précisé un de ses camarades. Présent lors du meurtre, il explique que l’étudiant «était en tournage d’une vidéo dans le cadre de travaux pratiques en comédie», avant que le drame se produise.
Le jeune homme qui s’appelait Honoré Shama était un étudiant de la faculté des lettres de l’Université de Kinshasa (République démocratique du Congo), comme l’a précisé un de ses camarades. Présent lors du meurtre, il explique que l’étudiant «était en tournage d’une vidéo dans le cadre de travaux pratiques en comédie», avant que le drame se produise.