Un autre jour, une autre application de passeport-vaccin est prise en flagrant délit d’exposition au monde entier des dossiers médicaux sensibles de ses utilisateurs
Le problème des passeports vaccinaux ne concerne pas seulement les libertés civiles. Il s’agit aussi de la vie privée.
Le déploiement et l’utilisation des passeports vaccinaux s’avèrent problématiques dans de nombreux endroits du monde, que ce soit pour des raisons techniques ou éthiques, ou les deux (ou l’absence de celles-ci), et le dernier membre en date de ce “club” est une application appelée Docket, qui est l’application de vaccination Covid approuvée dans les États américains de l’Utah et du New Jersey. Les Centres de contrôle et de prévention des maladies (CDC) ont également approuvé l’application.
Mais la semaine dernière, des rapports ont révélé que Docket était une autre application présentant une faille de sécurité. TechCrunch a déclaré qu’il était responsable de l’identification du bug et de la soumission d’un rapport, tandis que le PDG de la société à l’origine de l’application, Michael Perretta, les a ensuite informés que le bug au niveau du serveur avait été corrigé.
Toutefois, mardi dernier, il n’a pas été en mesure de dire si quelqu’un avait exploité la vulnérabilité, précisant que les journaux des serveurs étaient en train d’être inspectés à la recherche de traces d’activités malveillantes. Il a ajouté que, si les autorités des deux États qui avaient fait confiance à Docket pour protéger leurs résidents seraient informées, il n’a pas précisé si les utilisateurs le seraient également.
Au moins dans le New Jersey, cela a semblé satisfaire le ministère de la Santé de l’État, qui a plus ou moins répété la déclaration de M. Perretta par l’intermédiaire d’un porte-parole, en ajoutant l’inévitable platitude suivante : “la confidentialité et la sécurité des utilisateurs de Docket restent primordiales”. La réaction a été à peu près la même en Utah.
Ce qui se passait auparavant était une vulnérabilité non détectée compromettant l’intégrité des codes QR – qui contiennent des informations telles que le nom de l’utilisateur, sa date de naissance, son statut vaccinal Covid, la date de la vaccination et le vaccin reçu. Il s’avère que ces informations étaient stockées de manière non sécurisée sur les serveurs de Docket pendant une durée indéterminée, ce qui permettait à quiconque d’accéder aux codes QR des autres utilisateurs de Docket et de les demander.
Les créateurs de l’application n’auraient pas vérifié que leurs serveurs authentifiaient les demandes de codes QR, bien que cela soit possible avec un logiciel courant et facilement disponible associé à des codes QR générés par la norme SMART Health Card, qui est de plus en plus adoptée dans le monde.
Docket a précédemment déclaré sur Twitter qu’il comptait un million d’utilisateurs. Ce tweet a maintenant disparu.
Lire aussi : Le passeport vaccinal écossais partage des données avec des agents de Big Tech et plus encore
Source : Reclaim The Net – Traduit par Anguille sous roche
