Alors que le Conseil constitutionnel doit se prononcer ce jeudi 5 août sur l'extension du pass sanitaire aux restaurants et à certains transports, IN Groupe (ex-Imprimerie Nationale) a finalement diffusé le code source de l'application TousAntiCovid Verif qui est utilisée par les professionnels pour scanner les pass. Ce code, qui n'est disponible que partiellement, a été analysé par le développeur gilbsgilbs, il a relevé plusieurs anomalies.
Un problÚme majeur est que si l'on passe le téléphone Android en langue anglaise (celui qui sert à valider le pass, pas celui qui présente le pass), l'application va alors considérer tous les QR code comme valides. Un dysfonctionnement que nous avons pu vérifier :
C'est une erreur de dĂ©veloppement assez grossiĂšre qui pourrait amener des problĂšmes en cette pĂ©riode de vacances. Les professionnels du tourisme qui utilisent un appareil Android configurĂ© en anglais vont donc obtenir un feu vert pour tous les QR code, mĂȘme ceux qui sont invalides, jusqu'Ă ce que l'anomalie soit rĂ©glĂ©e. Sur la version iOS de TousAntiCovid, ce problĂšme n'est pas prĂ©sent car l'implĂ©mentation est diffĂ©rente.
gilbsgilbs critique Ă©galement la licence du code source qui est propriĂ©taire et contraignante. Celle-ci interdit les forks (versions alternatives basĂ©es sur le mĂȘme code) et la redistribution des sources. La Suisse dispose d'une application semblable qui est entiĂšrement open source, il estime que la France devrait ĂȘtre en mesure de faire la mĂȘme chose et de ne pas jouer la sĂ©curitĂ© par l'obscuritĂ©. RĂ©cemment, IN Groupe a ajoutĂ© du chiffrement de bout en bout pour la conversion des certificats qui transitent sur les serveurs de l'amĂ©ricain Akamai. Orange devrait prochainement prendre la relĂšve.
Mise à jour le 10 août : le bug lié à l'anglais a été corrigé par la version 1.7 de TousAntiCovid Verif sur Android.
