Depuis ce matin, lundi 6 avril, les Français peuvent se doter d’une version numérique de l’attestation de déplacement dérogatoire. Il suffit pour cela de remplir un formulaire en ligne, ce qui aura pour effet de générer un PDF avec un QRCode, que les forces de l’ordre pourront scanner avec une application mobile.
Le gouvernement a souligné qu’aucune donnée ne serait collectée au travers de ce dispositif, mais beaucoup de Français ont des doutes à ce sujet. Si on remplit un formulaire en ligne, c’est qu’il y a bien un transfert de données, non ? Eh bien non. Le hacker Elliot Alderson a vérifié : aucune donnée ne transite entre le navigateur web et le serveur du gouvernement au moment de la génération de l’attestation. En effet, le PDF et son QRCode sont créés au travers d’un Javascript qui ne s’exécute que localement. Le gouvernement a donc bien tenu parole.
<Thread> Ce matin, @Place_Beauvau a mis en ligne son générateur d’attestion de déplacement dérogatoire. Vous êtes nombreux a avoir des suspicions et a vous poser des questions sur ce dispositif. Voici ce que l’on sait aujourd’hui https://t.co/FfspQb4Aw6
— Elliot Alderson (@fs0c131y) April 6, 2020
Un léger doute subsiste sur l’appli de scan
Pour l’appli mobile des forces de l’ordre, qui permet de scanner les QRCode en cas de contrôle, le jugement est plus ardu. « En l’absence d’analyse de l’APK ou du code source, il est impossible d’affirmer qu’il n’y a pas de traitement de données à 100 % », explique Elliot Alderson. Néanmoins, l’expert pense qu’il n’y a aucun piège, car le gouvernement « a démenti officiellement et officieusement tout traitement de données » et que « tout traitement de donnée personnelle nécessite un décret en conseil d’État ». Or, « il n’y a rien au JO à ce sujet ».
En somme, l’usage de la version numérique de l’attestation numérique ne présente, à ce stade, aucun risque en matière de données personnelles. Mais si vous êtes vraiment parano, vous pouvez toujours utiliser la version papier.