DE | FR
Le bouton «rafraîchir» a disparu du visuel de l'application Certificat Covid. Lors des contrôles d'entrée, les agents de sécurité devront utiliser l'application de contrôle de la Confédération.
Le bouton «rafraîchir» a disparu du visuel de l'application Certificat Covid. Lors des contrôles d'entrée, les agents de sécurité devront utiliser l'application de contrôle de la Confédération.Image: Keystone/Watson

Ce changement dans l'appli du Certificat Covid va faire toute la différence

L'interface utilisateur de l'application de la Confédération «Certificat Covid» a été adaptée. Le changement est petit, certes, mais il a son importance. Et les professionnels de l'informatique peuvent enfin dormir sur leurs deux oreilles.
Diese Story ist auch auf Deutsch verfügbar. Zur Story
19.01.2022, 11:5119.01.2022, 12:10
Daniel Schurter
Daniel Schurter
Daniel Schurter
Suivez-moi

L'application de certificats et l'application de contrôle imaginées par l'Office fédéral de la santé publique (OFSP) sont des outils importants dans la lutte contre la pandémie. Toute modification s'avère donc être une tâche délicate.

Quelques mois après son lancement, il a été constaté qu'une fonction intégrée dans l'application de certificat était utilisée à mauvais escient pour contrôler des codes QR étrangers. Mais les mises en garde répétées d'experts en informatique indépendants n'ont pas été entendues. Il a fallu attendre près d'un trimestre pour que la faille du système de certificat soit corrigée.

L'OFSP s'est enfin exprimé sur le sujet.

Que s'est-il passé?

En octobre 2021, watson a attiré l'attention sur le problème de la vérification inappropriée des certificats. Au lieu de scanner le code QR avec l'application officielle de vérification des certificats de la Confédération, certains contrôleurs avaient recours au bouton d'actualisation du certificat. Dans ce cas de figure, l'application affiche vert pour «valide» et rouge pour «non valide». Cette pratique créait un potentiel d'abus considérable.

La récente mise à jour de l'application a permis de régler ce problème. En effet, le bouton «rafraîchir» en bas à droite a disparu. A la place, on trouve un «i» entouré.

Le porte-parole de l'OFSP, Grégoire Gogniat, a expliqué à watson que la mention «i» qui remplace la flèche disparaîtra complètement dans deux semaines.
Le porte-parole de l'OFSP, Grégoire Gogniat, a expliqué à watson que la mention «i» qui remplace la flèche disparaîtra complètement dans deux semaines.image: watson

Et si l'on appuie sur le «i», un message apparaît indiquant que la vérification des certificats doit être effectuée avec l'application «COVID Certificate Check».

Suite à la dernière mise à jour de l'application, les contrôleurs de certificats doivent utiliser l'application COVID Certificate Check pour savoir si un certificat présenté est valable.
Suite à la dernière mise à jour de l'application, les contrôleurs de certificats doivent utiliser l'application COVID Certificate Check pour savoir si un certificat présenté est valable.image: watson

Quand a-t-on découvert le bug?

Les deux applications suisses liées au certificat Covid ont été lancées en juin 2021. Des spécialistes de la Confédération et de l'entreprise privée de développement d'applications Ubique ont travaillé main dans la main sur le projet et utilisent pour cela la célèbre plateforme de développement de logiciels GitHub.

C'est sur GitHub que l'ensemble du code du programme peut être consulté publiquement et téléchargé. Il s'agit en effet d'un projet en open source. Et c'est également sur cette plateforme que des informaticiens indépendants et des tiers échangent des informations sur le projet.

En septembre 2021, un utilisateur a posté que la fonction de rafraichissement constituait une faille dans le système de certificats. Selon lui, les composants logiciels disponibles sur GitHub (le fameux «référentiel») pourraient être utilisés pour créer une fausse application de certificat (sur un smartphone Android).

En cas de contrôle peu rigoureux, on pourrait ainsi présenter un faux certificat:

«Les restaurants, les centres de fitness, etc. font confiance au bouton 'rafraîchir' pour connaître la validité du certificat, plutôt que de scanner le code QR. Or, cette méthode n'est pas sûre. N'importe quel 'faussaire' peut facilement cloner ce référentiel et modifier l'application pour qu'elle affiche toujours une coche verte, indépendamment de ce qui est indiqué dans le code QR.»
source: github.com

Après cette alerte, rien n'a changé.

En octobre 2021, un autre utilisateur de GitHub a déclaré:

«Ces derniers temps, de plus en plus de personnes et d'établissements utilisent le bouton d'auto-vérification pour contrôler mon certificat. Mais cela ne me semble pas correct. (...) quelqu'un pourrait utiliser le code ici, supprimer la vérification et obtenir ainsi un certificat 'valide'.»
source: github.com

Les responsables ont récemment réagi. C'est du moins ce que laissent penser les réponses consultables sur GitHub. Le problème a été identifié, mais une fois de plus, il ne s'est rien passé.

Entre temps, un mois s'est écoulé. Les agents de sécurité et autres contrôleurs ont continué d'appuyer sur le bouton «rafraîchir». En d'autres termes, un nombre inconnu de certificats n'a pas été contrôlé comme l'exige et le prescrit la Confédération.

En novembre dernier, un autre utilisateur GitHub, informaticien indépendant, a présenté sa propre solution. Cette proposition se rapproche de l'amélioration appliquée aujourd'hui. Cela revient à faire apparaître une nouvelle fenêtre lors de l'utilisation du bouton d'actualisation du certificat. Celle-ci indique d'utiliser plutôt l'application de vérification de la Confédération.

screenshot: github.com

Une fois de plus, il n'y a pas eu de réaction publique de la part des experts compétents au niveau fédéral.

Mais l'utilisateur de GitHub, qui s'est impliqué dans la résolution du problème, a réagi. Le 19 novembre, il s'est montré particulièrement critique:

«Cela fait maintenant deux mois que j'ai ouvert la brèche sur le problème iOS, et nous devons partir du principe que ce problème n'est volontairement pas traité. La seule façon de faire bouger les choses serait probablement de développer une application qui crée des codes QR non valides pour Mickey Mouse, etc. et qui affiche une coche verte.»
source: github.com

Détail intéressant: il semblerait que l'Allemagne ait connu des problèmes similaires avec son application d'alerte Covid. A noter que, contrairement à la Suisse, la gestion des certificats y est intégrée à l'application d'alerte.

Un coup d'œil sur l'application allemande Corona-Warn montre que les contrôleurs sont invités à utiliser l'application de contrôle sur leur smartphone.
Un coup d'œil sur l'application allemande Corona-Warn montre que les contrôleurs sont invités à utiliser l'application de contrôle sur leur smartphone.image: watson

Retour en Suisse, où la situation s'est aggravée en décembre sur GitHub. Un utilisateur engagé a proposé de fixer un ultimatum au 20 janvier à l'OFSP ou à l'entreprise responsable du développement de l'application. Si le bouton d'actualisation de l'application de certificats n'est pas désamorcé, il faut démontrer la dangerosité de la faille avec un exemple de logiciel («Proof of Concept») et ainsi faire pression sur la Confédération.

screenshot: github.com

Les responsables du projet ont enfin laissé entrevoir qu'ils allaient s'attaquer sérieusement au problème.

«Nous sommes conscients des problèmes que vous avez soulevés en ce qui concerne le bouton d'actualisation. Des solutions possibles sont actuellement en cours d'examen. Nous vous tiendrons informés en temps voulu.»
source: github.com

Début janvier, un utilisateur de GitHub a indiqué que les développeurs travaillaient sur la version iOS de l'application de certificat. Et un responsable du projet a confirmé que les adaptations seraient livrées «dans les prochaines semaines».

Que nous dit l'OFSP?

watson s'est renseigné mardi auprès de l'éditeur de l'application: l'Office fédéral de la santé publique.

Dans l'App Store d'Apple (iOS), la description de la mise à jour (3.2.0) indique: «A partir du 17.1.2022, un bouton d'information apparaîtra d'abord de manière temporaire». Qu'est-ce que cela signifie?

Grégoire Gogniat, porte-parole de l'OFSP répond:

«Le bouton d'information indique au détenteur, en fonction du moment de la première utilisation après la mise à jour de l'application 'COVID Certificate', que le bouton 'rafraîchir' a été désactivé pendant deux semaines. L'information est maintenue pendant deux semaines. Ensuite, le bouton d'information n'apparaîtra plus non plus.»

A la question de savoir pourquoi il a fallu attendre si longtemps pour que le problème soit résolu, Gogniat déclare:

«Les défis liés au bouton d'actualisation sont connus de l'équipe de projet depuis un certain temps déjà, indépendamment de la discussion sur GitHub. Le développement épidémiologique de ces derniers mois a nécessité à plusieurs reprises (parfois avec des délais très courts) des adaptations du certificat Covid. Il a fallu fixer des priorités.»

Selon la Confédération, les développeurs d'applications n'ont donc pas eu le temps de procéder plus tôt à l'adaptation.

Sur la page web de l'OFSP consacrée à l'application, les visiteurs sont désormais mis en garde:

«Important: utilisez systématiquement l’application 'COVID Certificate Check' pour vérifier les codes QR. Seule cette mesure permet de garantir que le certificat présenté et les données qu’il contient sont authentiques et n’ont pas été manipulées. L’application du titulaire du certificat n’autorise pas le défilement manuel ou la 'vérification à vue'.»
source: bag.admin.ch

En ce qui concerne la vérification correcte des certificats, l'OFSP craint une confusion, voire de la méconnaissance de la part de la population. C'est pourquoi elle recommande d'actualiser l'application si nécessaire. Et il convient de se référer une nouvelle fois aux instructions fournies par l'institution:

Pour s'assurer qu'un code QR présenté appartient bien à la personne qui le présente, il faut vérifier que le nom, le prénom et la date de naissance figurant sur le certificat Covid et sur le document d'identité officiel correspondant. Et surtout, la photo d'identité doit correspondre à la personne qui présente le certificat.

Quelles lacunes la Confédération a-t-elle comblées en octobre?

En octobre 2021, une mise à jour de l'application a corrigé une faille qui, selon les recherches de watson, a déjà été exploitée par les faussaires. Depuis lors, la manipulation de la date et de l'heure de l'appareil pour faire croire qu'un certificat expiré est valable ne fonctionne plus.

(Traduit de l'allemand par Anaïs Rey)

À quel point es-tu Swisstainable?

1 / 6
À quel point es-tu Swisstainable?
source: ©glacier express / stefan schlumpf
partager sur Facebookpartager sur Twitterpartager par WhatsApp

Pour les amateurs de Covid...

Injecter une 4e dose de vaccin? Pourquoi «ce n'est pas une bonne idée»

Link zum Artikel

5 points pour comprendre pourquoi l'OMS désavoue les vaccins Covid

Link zum Artikel

Faut-il lever les mesures Covid et prendre la vague de plein fouet?

Link zum Artikel

Pas de rappel, pas de piqûre et pas d'infection? Le vaccin nasal fait rêver

Link zum Artikel
1 Commentaire
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
1
«Neutralité coopérative» de Cassis: comment la neutralité suisse a évolué
Le président de la Confédération a proposé un nouveau terme au Forum économique mondial de Davos. Est-il également synonyme de nouveau contenu? Une petite clarification de la notion de neutralité suisse.

Samedi, la NZZ a publié un article sur la situation actuelle de la neutralité. La phrase clé: «Alors qu'en Suisse, on continue à débattre des nouvelles formes de neutralité, celle-ci n'est plus reconnaissable en tant que telle depuis longtemps pour le reste du monde.» Le président américain Joe Biden l’a souligné: «même la Suisse» est cette fois-ci du côté d'un belligérant. Notre pays a en effet adopté les sanctions contre la Russie.

L’article