Le certificat de vaccination COVID numérique papier de l'Union européenne. Crédit :Nataliya Vaitkevich / Pexels, CC BY-SA 4.0
Les passeports de vaccination COVID se sont révélés extrêmement diviseurs pendant la pandémie de coronavirus, en raison de problèmes liés aux libertés civiles ou de leur potentiel de discrimination à l'encontre des groupes les plus réticents à la vaccination au sein de la société.
Mais alors que de nombreux gouvernements du monde entier font avancer leur mise en œuvre pour tenter de freiner la propagation du COVID-19, la sécurité de nos données est devenue une source de préoccupation majeure.
De nombreux laissez-passer COVID fonctionnent en produisant un code QR ou un code-barres 2D pour chaque utilisateur qui peut être scanné comme preuve de vaccination. Les codes-barres utilisés dans certains de ces passeports ne sont pas si sûrs car ils ne sont pas générés avec des données cryptées. Cependant, ils pourraient être sécurisés si les gouvernements nationaux, les organisations internationales et les entreprises technologiques mondiales travaillaient ensemble pour tirer le meilleur parti des possibilités intéressantes offertes par cette technologie.
Intégré dans le code-barres se trouve un identifiant vérifiable qui prouve le statut de vaccination, ainsi qu'un certain nombre de détails personnels en fonction du format du code-barres. Ceux-ci sont susceptibles d'inclure le nom complet et la date de naissance de l'utilisateur. Pour garantir l'authenticité et prévenir la fraude, le code-barres contient également une signature numérique unique qui est générée en fonction de son contenu.
Un certain nombre de programmes de passeports vaccinaux ont déjà été critiqués pour manque de sécurité, notamment ceux de New York et de Québec, qui ont été critiqués pour avoir permis aux gens d'obtenir les codes-barres d'autres personnes en saisissant leurs coordonnées. Pour atténuer certaines inquiétudes, l'UE a établi sa propre norme ouverte pour les passeports vaccinaux, le certificat numérique COVID de l'UE (EUDCC). Il a été adopté par les 27 États de l'UE et 18 autres pays.
Cependant, cela n'a pas résolu le fait que le contenu du certificat n'est pas crypté, de sorte que toute personne ayant accès au code-barres (et les compétences nécessaires) peut le décoder et récupérer les informations personnelles qu'il contient. Cela s'applique aux passeports COVID dans l'UE, au Canada, au Royaume-Uni, en Californie et en Nouvelle-Zélande. Il n'y a que de légères différences dans la façon dont les données sont codées, mais dans tous ces cas, elles ne sont pas chiffrées.
Pour chiffrer le contenu du certificat COVID, il doit y avoir ce qu'on appelle une clé de chiffrement associée au certificat et à l'identité numérique du propriétaire. Actuellement, la plupart des codes-barres COVID ne cryptent pas leur contenu en raison du manque d'infrastructure d'identité numérique ainsi que de l'obligation de fonctionner hors ligne. Cela met en danger les informations personnelles d'un utilisateur.
Il y a aussi un autre problème avec les certificats COVID actuels. Ils sont signés par l'émetteur (par exemple le NHS) à l'aide d'une clé ou d'un code spécifique à la région ou au pays. Si quelqu'un devait obtenir la clé, il pourrait créer un faux certificat. Les autorités devraient répondre aux passeports COVID frauduleux en révoquant la clé compromise, ce qui signifierait que tous les certificats COVID préexistants deviendraient invalides.
Pourquoi utiliser des codes-barres
Jusqu'à récemment, la gestion de l'identité numérique d'un utilisateur d'ordinateur consistait en un simple identifiant de nom d'utilisateur et de mot de passe. C'est un système qui fonctionne, pour l'essentiel, depuis plus de 60 ans. Mais l'explosion actuelle du contenu en ligne, les défis de la cybersécurité et les problèmes de confidentialité obligent les utilisateurs à mieux contrôler leur propre identité numérique.
Notre identité est essentiellement composée de millions de petites vérités sur nous-mêmes. Des informations d'identification vérifiables dans un code-barres pourraient nous permettre de partager une seule vérité plutôt que toute notre identité, en fonction de la situation particulière si les données sont correctement cryptées.
À son crédit, le certificat COVID fait exactement cela. Il s'agit d'une simple preuve d'une vérité individuelle, permettant en théorie de démontrer que l'on a été vacciné sans donner d'autres détails. Le fait que le certificat ne soit pas entièrement sécurisé indique l'absence d'une infrastructure d'identité numérique plus robuste.
Risques potentiels
L'absence de cette pièce du puzzle de l'identité numérique doit être rectifiée à un moment donné dans le futur. Jusque-là, les passeports COVID actuels pourraient faire l'objet d'abus.
Les informations personnelles impliquées dans le certificat de vaccination ne sont pas particulièrement sensibles à première vue, car elles se trouvent souvent facilement dans d'autres endroits tels que le permis de conduire, les dossiers scolaires ou le passeport. Mais à l'avenir, lorsque cette technologie sera plus répandue, nous utiliserons probablement des certificats similaires qui contiennent des informations d'identification vérifiables dans presque tous les aspects de notre vie, comme pour accéder à un bâtiment ou à des services, ou pour approuver des achats (à la fois en magasin et en ligne). ).
Cela a des conséquences positives et négatives pour les utilisateurs. Du côté positif, nous n'aurons qu'à fournir le minimum d'informations personnelles d'une manière très conviviale. Par exemple, nous pourrons nous inscrire à des sites Web sans même saisir de nom.
Mais si nous présentons des codes-barres non sécurisés dans de nombreux endroits, chacun contenant de petites vérités uniques sur nous-mêmes, ils peuvent éventuellement être combinés ensemble et l'identité de la personne à laquelle ils se rapportent peut être compromise.
C'est ainsi que travaillent actuellement de nombreux cybercriminels, combinant des données provenant de différentes sources d'information, ce qui permet de construire l'identité numérique d'une personne dans le temps. Cela pourrait entraîner un risque accru de vol d'identité et potentiellement être utilisé comme base pour une variété de cybercrimes.
Cependant, pour toutes ces préoccupations concernant les passeports numériques, il convient de rappeler que si elle peut être sécurisée à l'échelle internationale, ce type de technologie d'identité numérique a un potentiel d'avantages significatif pour les citoyens, et pas seulement pour les certificats de vaccination.