De nombreux passeports vaccinaux présentent des failles de sécurité – voici comment les rendre plus sûrs

De nombreux passeports vaccinaux présentent des failles de sécurité - voici comment les rendre plus sûrs

Le certificat de vaccination COVID numérique papier de l’Union européenne. Crédit : Nataliya Vaitkevich / Pexels, CC BY-SA 4.0

Les passeports de vaccination COVID se sont révélés extrêmement conflictuels pendant la pandémie de coronavirus, en raison de problèmes liés aux libertés civiles ou de leur potentiel à discriminer les groupes les plus réticents à la vaccination au sein de la société.

Mais alors que de nombreux gouvernements du monde entier poursuivent leur mise en œuvre pour tenter de freiner la propagation du COVID-19, la sécurité de nos données est devenue une source de préoccupation majeure.

De nombreux laissez-passer COVID fonctionnent en produisant un code QR ou un code-barres 2D pour chaque utilisateur qui peut être scanné comme preuve de vaccination. Les codes-barres utilisés dans certains de ces passeports ne sont pas si sécurisés car ils ne sont pas générés avec des données cryptées. Cependant, ils pourraient être sécurisés si les gouvernements nationaux, les organisations internationales et les entreprises technologiques mondiales travaillaient ensemble pour tirer le meilleur parti des possibilités passionnantes que cette technologie présente.

Le code-barres contient une information d’identification vérifiable qui prouve le statut de vaccination et un certain nombre de détails personnels en fonction du format du code-barres. Ceux-ci sont susceptibles d’inclure le nom complet et la date de naissance de l’utilisateur. Pour garantir l’authenticité et prévenir la fraude, le code-barres contient également une signature numérique unique qui est générée en fonction de son contenu.

Un certain nombre de programmes de passeport vaccinal ont déjà été critiqués pour manque de sécurité, notamment ceux de New York et du Québec, qui ont été critiqués pour permettre aux gens d’obtenir les codes-barres d’autres personnes en entrant leurs coordonnées. Pour atténuer certaines inquiétudes, l’UE a établi sa propre norme ouverte pour les passeports vaccinaux, le certificat numérique COVID de l’UE (EUDCC). Il a été adopté par les 27 États membres de l’UE et 18 autres pays.

Cependant, cela n’a pas pris en compte le fait que le contenu du certificat n’est pas crypté, de sorte que toute personne ayant accès au code-barres (et possédant les compétences nécessaires) peut le décoder et récupérer les informations personnelles qu’il contient. Cela s’applique aux passeports COVID dans l’UE, au Canada, au Royaume-Uni, en Californie et en Nouvelle-Zélande. Il n’y a que de légères différences dans la façon dont les données sont codées, mais dans tous ces cas, elles ne sont pas cryptées.

Pour crypter le contenu du certificat COVID, il doit y avoir ce qu’on appelle une clé de cryptage associée au certificat et à l’identité numérique du propriétaire. Actuellement, la plupart des codes-barres COVID ne cryptent pas leur contenu en raison du manque d’infrastructure d’identité numérique ainsi que de l’obligation de fonctionner hors ligne. Cela met en danger les informations personnelles d’un utilisateur.

Il y a aussi un autre problème avec les certificats COVID actuels. Ils sont signés par l’émetteur (par exemple le NHS) à l’aide d’une clé ou d’un code spécifique à la région ou au pays. Si quelqu’un obtenait la clé, il pourrait créer un faux certificat. Les autorités devraient répondre aux passeports COVID frauduleux en révoquant la clé compromise, ce qui signifierait que tous les certificats COVID préexistants deviendraient invalides.

Pourquoi utiliser des codes-barres

Jusqu’à récemment, la gestion de l’identité numérique d’un utilisateur d’ordinateur consistait en un simple nom d’utilisateur et un mot de passe. C’est un système qui fonctionne, pour l’essentiel, depuis plus de 60 ans. Mais l’explosion actuelle du contenu en ligne, les défis de la cybersécurité et les problèmes de confidentialité obligent un utilisateur à mieux contrôler sa propre identité numérique.

Notre identité est essentiellement constituée de millions de petites vérités sur nous-mêmes. Des informations d’identification vérifiables dans un code-barres pourraient nous permettre de partager une seule vérité plutôt que toute notre identité, en fonction de la situation particulière si les données sont correctement cryptées.

À son honneur, le certificat COVID fait exactement cela. Il s’agit d’une simple preuve d’une vérité individuelle, vous permettant en théorie de démontrer que vous avez été vacciné sans donner d’autres détails. Le fait que le certificat ne soit pas entièrement sécurisé indique l’absence d’une infrastructure d’identité numérique plus robuste.

Riques potentiels

L’absence de cette pièce du puzzle de l’identité numérique doit être rectifiée à un moment donné dans le futur. D’ici là, les passeports COVID actuels pourraient faire l’objet d’abus.

Les informations personnelles incluses dans le certificat de vaccination ne sont pas particulièrement sensibles à première vue, car elles se trouvent souvent facilement à d’autres endroits tels qu’un permis de conduire, un dossier scolaire ou un passeport. Mais à l’avenir, lorsque cette technologie sera plus répandue, nous utiliserons probablement des certificats similaires contenant des informations d’identification vérifiables dans à peu près tous les aspects de notre vie, par exemple pour accéder à un bâtiment ou à des services, ou pour approuver des achats (en magasin et en ligne). ).

Cela a des conséquences positives et négatives pour les utilisateurs. Du côté positif, nous n’aurons besoin de fournir que le minimum d’informations personnelles d’une manière très conviviale. Par exemple, nous pourrons nous inscrire à des sites Web sans même entrer de nom.

Mais si nous présentons des codes-barres non sécurisés à de nombreux endroits, chacun contenant de petites vérités uniques sur nous-mêmes, alors ceux-ci peuvent éventuellement être combinés ensemble et l’identité de la personne à laquelle ils se rapportent peut être compromise.

C’est ainsi que travaillent actuellement de nombreux cybercriminels, combinant des données provenant de différentes sources d’information, qui permettent de construire l’identité numérique d’une personne dans le temps. Cela pourrait entraîner un risque accru d’usurpation d’identité et potentiellement être utilisé comme base pour une variété de cybercrimes.

Cependant, malgré toutes ces inquiétudes concernant les passeports numériques, il ne faut pas oublier que si elle peut être sécurisée à l’échelle internationale, ce type de technologie d’identité numérique a un potentiel important pour les citoyens – et pas seulement pour les certificats de vaccination.


EXPLICATEUR : Comment fonctionneront les passeports vaccinaux pour les voyages dans le monde


Fourni par La Conversation

Citation: De nombreux passeports vaccinaux présentent des failles de sécurité – voici comment les rendre plus sûrs (2021, 2 décembre) récupéré le 2 décembre 2021 sur https://techxplore.com/news/2021-12-vaccine-passports-flaws-safer.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.