Tribune libre par Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix

Remarque : les propos tenus ici n’engagent pas la rédaction de GNT, mais constituent un avis éclairé de la part d’un expert dans son domaine que nous avons jugé opportun de vous faire partager. Il ne s’agit pas d’un article promotionnel, aucun lien financier ou autre n’existant entre cette société et GNT, le seul intérêt étant de vous apporter un éclairage intéressant sur un domaine particulier.

Pour Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix, la bonne gestion des problématiques de confidentialité, d’intégrité et de disponibilité sera clé dans l’efficacité du projet s’il est effectif :

« Les passeports de vaccination seront inévitablement comparés aux applications dites de contact tracing, telles que TousAntiCovid, qui ont commencé à apparaître l’année dernière. Le grand public et la communauté des chercheurs en sécurité ne semblent pas avoir été pleinement convaincus par la façon dont les gouvernements au niveau international ont traité ces applications. Ainsi, de nombreuses inquiétudes concernant leur sécurité et la possible violation de la vie privée des citoyens subsistent encore.

Contrairement au contact tracing, qui reste essentiellement volontaire, les passeports de vaccination deviendront probablement une obligation, du moins pour ceux qui veulent retrouver une vie normale en accédant aux lieux publics ou encore en ayant la possibilité de voyager à nouveau à l’étranger. En matière de sécurité autour de ce projet, la confidentialité est probablement la préoccupation majeure. Les informations divulguées sur le traitement ou le lieu de vaccination peuvent en effet être utilisées par des attaquants pour élaborer des emails de phishing, d’apparence légitime, et devenir un point d’entrée pour le piratage de systèmes personnels ou d’entreprise.

seringue-vaccin-terre-covid

Le passeport de vaccination sera utilisé pour vérifier que son propriétaire peut prendre l’avion, entrer dans un espace public ou même dans un pays en toute sécurité. Combiné à d’autres informations sur le même smartphone, ce type de données peut révéler l’identité et la localisation de la personne. La compromission de ces éléments est susceptible d’entrainer une grave atteinte à la vie privée. Dans les cas les plus extrêmes, l’accès non autorisé à ces données peut devenir un outil de surveillance non autorisé, voire mettre des vies en danger.

D’une manière ou d’une autre, les différents pays devront se mettre d’accord sur la manière d’utiliser et d’accepter ces passeports de vaccination pour les voyages internationaux. Cela pose la question de la quantité de données qui devront être partagées entre les juridictions, mais aussi de la protection de toutes ces informations personnelles ; à savoir si tous les pays participants feront les mêmes efforts en termes de cybersécurité.

L’intégrité des données des utilisateurs stockées et présentées par l’application peut également devenir un sujet de préoccupation. Les gouvernements devront quoiqu’il arrive être capables d’identifier les faux passeports vaccinaux afin de protéger la sécurité publique et de prévenir de nouvelles pandémies. C’est là que des technologies comme la blockchain pourront contribuer à garantir l’intégrité des données dans un environnement largement distribué. Leur mise en œuvre nécessitera néanmoins des efforts importants de coordination, des compétences informatiques supplémentaires et des solutions de sécurité à prioriser.

Enfin, la disponibilité du passeport vaccinal représentera un nouveau défi pour le secteur du voyage, en particulier lorsque la vie reprendra son cours normal et que de plus en plus de personnes prendront l’avion chaque jour, aussi bien pour le travail que pour les loisirs. La situation peut en effet devenir compliquée dans les aéroports et les files d’attente aux postes de contrôle frontaliers si le système est trop centralisé et à la moindre interruption. Bien sûr il existe des moyens d’éviter cela, avec notamment la décentralisation des données en différents endroits ainsi qu’avec la redondance, qui consiste à dupliquer les données des systèmes à des fins de sauvegarde ou de restauration en cas de problème. Toutefois, la mise en place de ces processus requière du temps et des ressources. Si les gouvernements s’empressent de déployer les dispositifs de contrôle sans les moyens adéquats, les risques liés à la disponibilité seront réels. »