L'application de certificats et l'application de contrôle imaginées par l'Office fédéral de la santé publique (OFSP) sont des outils importants dans la lutte contre la pandémie. Toute modification s'avère donc être une tâche délicate.
Quelques mois après son lancement, il a été constaté qu'une fonction intégrée dans l'application de certificat était utilisée à mauvais escient pour contrôler des codes QR étrangers. Mais les mises en garde répétées d'experts en informatique indépendants n'ont pas été entendues. Il a fallu attendre près d'un trimestre pour que la faille du système de certificat soit corrigée.
L'OFSP s'est enfin exprimé sur le sujet.
En octobre 2021, watson a attiré l'attention sur le problème de la vérification inappropriée des certificats. Au lieu de scanner le code QR avec l'application officielle de vérification des certificats de la Confédération, certains contrôleurs avaient recours au bouton d'actualisation du certificat. Dans ce cas de figure, l'application affiche vert pour «valide» et rouge pour «non valide». Cette pratique créait un potentiel d'abus considérable.
La récente mise à jour de l'application a permis de régler ce problème. En effet, le bouton «rafraîchir» en bas à droite a disparu. A la place, on trouve un «i» entouré.
Et si l'on appuie sur le «i», un message apparaît indiquant que la vérification des certificats doit être effectuée avec l'application «COVID Certificate Check».
Les deux applications suisses liées au certificat Covid ont été lancées en juin 2021. Des spécialistes de la Confédération et de l'entreprise privée de développement d'applications Ubique ont travaillé main dans la main sur le projet et utilisent pour cela la célèbre plateforme de développement de logiciels GitHub.
C'est sur GitHub que l'ensemble du code du programme peut être consulté publiquement et téléchargé. Il s'agit en effet d'un projet en open source. Et c'est également sur cette plateforme que des informaticiens indépendants et des tiers échangent des informations sur le projet.
En septembre 2021, un utilisateur a posté que la fonction de rafraichissement constituait une faille dans le système de certificats. Selon lui, les composants logiciels disponibles sur GitHub (le fameux «référentiel») pourraient être utilisés pour créer une fausse application de certificat (sur un smartphone Android).
En cas de contrôle peu rigoureux, on pourrait ainsi présenter un faux certificat:
Après cette alerte, rien n'a changé.
En octobre 2021, un autre utilisateur de GitHub a déclaré:
Les responsables ont récemment réagi. C'est du moins ce que laissent penser les réponses consultables sur GitHub. Le problème a été identifié, mais une fois de plus, il ne s'est rien passé.
Entre temps, un mois s'est écoulé. Les agents de sécurité et autres contrôleurs ont continué d'appuyer sur le bouton «rafraîchir». En d'autres termes, un nombre inconnu de certificats n'a pas été contrôlé comme l'exige et le prescrit la Confédération.
En novembre dernier, un autre utilisateur GitHub, informaticien indépendant, a présenté sa propre solution. Cette proposition se rapproche de l'amélioration appliquée aujourd'hui. Cela revient à faire apparaître une nouvelle fenêtre lors de l'utilisation du bouton d'actualisation du certificat. Celle-ci indique d'utiliser plutôt l'application de vérification de la Confédération.
Une fois de plus, il n'y a pas eu de réaction publique de la part des experts compétents au niveau fédéral.
Mais l'utilisateur de GitHub, qui s'est impliqué dans la résolution du problème, a réagi. Le 19 novembre, il s'est montré particulièrement critique:
Détail intéressant: il semblerait que l'Allemagne ait connu des problèmes similaires avec son application d'alerte Covid. A noter que, contrairement à la Suisse, la gestion des certificats y est intégrée à l'application d'alerte.
Retour en Suisse, où la situation s'est aggravée en décembre sur GitHub. Un utilisateur engagé a proposé de fixer un ultimatum au 20 janvier à l'OFSP ou à l'entreprise responsable du développement de l'application. Si le bouton d'actualisation de l'application de certificats n'est pas désamorcé, il faut démontrer la dangerosité de la faille avec un exemple de logiciel («Proof of Concept») et ainsi faire pression sur la Confédération.
Les responsables du projet ont enfin laissé entrevoir qu'ils allaient s'attaquer sérieusement au problème.
Début janvier, un utilisateur de GitHub a indiqué que les développeurs travaillaient sur la version iOS de l'application de certificat. Et un responsable du projet a confirmé que les adaptations seraient livrées «dans les prochaines semaines».
watson s'est renseigné mardi auprès de l'éditeur de l'application: l'Office fédéral de la santé publique.
Dans l'App Store d'Apple (iOS), la description de la mise à jour (3.2.0) indique: «A partir du 17.1.2022, un bouton d'information apparaîtra d'abord de manière temporaire». Qu'est-ce que cela signifie?
Grégoire Gogniat, porte-parole de l'OFSP répond:
A la question de savoir pourquoi il a fallu attendre si longtemps pour que le problème soit résolu, Gogniat déclare:
Selon la Confédération, les développeurs d'applications n'ont donc pas eu le temps de procéder plus tôt à l'adaptation.
Sur la page web de l'OFSP consacrée à l'application, les visiteurs sont désormais mis en garde:
En ce qui concerne la vérification correcte des certificats, l'OFSP craint une confusion, voire de la méconnaissance de la part de la population. C'est pourquoi elle recommande d'actualiser l'application si nécessaire. Et il convient de se référer une nouvelle fois aux instructions fournies par l'institution:
Pour s'assurer qu'un code QR présenté appartient bien à la personne qui le présente, il faut vérifier que le nom, le prénom et la date de naissance figurant sur le certificat Covid et sur le document d'identité officiel correspondant. Et surtout, la photo d'identité doit correspondre à la personne qui présente le certificat.
En octobre 2021, une mise à jour de l'application a corrigé une faille qui, selon les recherches de watson, a déjà été exploitée par les faussaires. Depuis lors, la manipulation de la date et de l'heure de l'appareil pour faire croire qu'un certificat expiré est valable ne fonctionne plus.
(Traduit de l'allemand par Anaïs Rey)