Décoder les nouveaux dossiers de vaccins numériques de la Californie et les dangers potentiels

L'État de Californie a récemment publié ce qu'il appelle un « dossier numérique du vaccin COVID-19 ». Cela fait partie du récent assouplissement par cet État des règles de santé publique sur le masquage dans les entreprises. Le nouveau Record de Californie est un code QR qui contient les mêmes informations que celles figurant sur nos cartes de vaccination papier, y compris le nom et la date de naissance. Nous voulons tous revenir à une liberté de mouvement normale tout en assurant la sécurité de nos communautés. Mais nous avons deux soucis avec ce plan :

Premièrement, avec un minimum d'efforts, les entreprises pourraient utiliser les informations contenues dans le carnet de vaccination pour suivre l'heure et le lieu de nos allées et venues, mettre ces informations en commun avec d'autres entreprises et vendre ces dossiers de nos déplacements au gouvernement. Nous ne devrions pas avoir à nous soumettre à une nouvelle technologie de surveillance qui menace le suivi omniprésent de nos mouvements dans les lieux publics pour revenir à une vie normale.

Deuxièmement, nous craignons que le dossier numérique sur les vaccins ne devienne quelque chose qui permette un système de videurs de vaccins numériques qui limite l'accès aux nécessités de la vie et amplifie les inégalités pour les personnes qui ne peuvent légitimement pas se faire vacciner. Il est bon que la Californie n'ait, du moins jusqu'à présent, créé aucune infrastructure permettant de transformer facilement le statut de vaccination en un système de surveillance qui amplifie les inégalités.

Nous ne nous opposons pas en soi à une autre caractéristique du nouveau dossier de vaccination numérique de la Californie : l'affichage sur l'écran de son téléphone, sous une forme lisible par l'homme, des informations sur sa carte de vaccination papier. Certaines personnes peuvent trouver qu'il s'agit d'un moyen utile de conserver leur carte de vaccination et de la présenter aux entreprises. Contrairement à un code QR, un tel système d'enregistrement numérique ne se prête pas facilement à la collecte, la conservation, l'utilisation et le partage automatisés de nos informations personnelles. En termes de fraude, il existe des lois où il est criminel de présenter déjà un faux carnet de vaccination, mais il y a peu de responsabilité pour nos données.

Pour mieux comprendre ce que la Californie a fait et pourquoi nous avons des objections à l'inclusion d'un dossier de santé personnel numérique utilisé pour le dépistage dans toutes sortes d'endroits, nous devrons passer en revue un bref résumé des nouvelles règles de santé publique de l'État, puis prendre une plongée profonde dans la technologie.

Qu'a fait la Californie ?

À la mi-juin, la Californie a annoncé une modification des règles de l'État sur le masquage dans les lieux publics : les entreprises peuvent désormais autoriser les personnes entièrement vaccinées à renoncer aux masques. Mais les entreprises doivent continuer à exiger que les personnes non vaccinées portent des masques. Pour respecter ces règles, il existe trois options : exiger que tous les clients portent un masque ; compter sur un système d'honneur; ou mettre en œuvre un système de vérification des vaccins.

Peu de temps après, la Californie a déployé son Digital Vaccine Record . Il s'agit d'un système de vérification des vaccins que les entreprises peuvent utiliser pour distinguer les clients vaccinés des clients non vaccinés à des fins de masquage. The Record s'appuie sur les cartes de santé SMART . La Californie permet aux personnes vaccinées d'obtenir leur Dossier numérique via un portail Web .

Le nouvel enregistrement affiche deux ensembles d'informations. Premièrement, il affiche les mêmes informations qu'une carte de vaccination papier : nom, date de naissance, date de vaccination et fabricant du vaccin. Deuxièmement, il a un code QR qui rend les mêmes faits lisibles par un scanner QR. Selon Reuters, un groupe à but non lucratif anonyme lancera bientôt une application que les entreprises pourront utiliser pour scanner ces codes QR.

Alors, qu'est-ce que le code QR de l'enregistrement numérique des vaccins implique?

EFF a regardé sous le capot. Nous avons généré un code QR basé sur cette procédure pas à pas pour les cartes de santé SMART. D'autres peuvent également utiliser le portail des développeurs du projet pour générer un code QR. Lorsque nous avons utilisé un scanner QR sur le code QR que nous avons généré, nous avons révélé cette goutte de texte :

shc:/56762909524320603460292437404460312229595326546034602925407728043360287028647167452228092863336138625905562441275342672632614007524325773663400334404163424036744177447455265942526337643363675944416729410324605736010641293361123274243503696800275229652…

D'accord, qu'est-ce que ça veut dire ?

En commençant par le shc:/, c'est le schéma du cadre SMART Health Cards basé sur les informations d'identification vérifiables du W3C . Ce cadre est une norme ouverte permettant de partager des allégations concernant des informations sur la santé d'un individu telles qu'elles sont émises par une institution, telle qu'un cabinet médical ou un registre national de vaccination.

Quels sont le reste de ces chiffres ?

Il s'agit d'une signature Web JSON ( JWS ou AKA un jeton Web JSON signé ). Il s'agit d'une forme de contenu transmissible sécurisé par des signatures numériques. Un JWS comporte trois parties : en-tête, charge utile et signature.

Notamment, il s'agit de données codées et non cryptées . L'encodage des données les formate d'une manière qui est facilement transmise à l'aide d'un format commun. Par exemple, le symbole « ? » dans le codage ASCII serait la valeur décimale "63". En soi, 63 ressemble à un nombre. Mais si vous saviez qu'il s'agissait d'un code ASCII, vous seriez en mesure de le décoder facilement en un point d'interrogation. Dans ce cas, la charge utile encodée JWS (via l'encodage base64URL) est minifiée (espace blanc supprimé), compressée et signée selon les spécifications par une autorité de santé. Les données cryptées , en revanche, sont illisibles, sauf pour une personne qui sait comment les décrypter sous une forme lisible. Étant donné que cet enregistrement est créé pour être lu par n'importe qui, il ne peut pas être crypté.

Après décodage , vous obtiendrez quelque chose qui ressemble à ceci :

[Séparer avec des en-têtes pour plus de lisibilité]

Signature

eyJ6aXAiOiJERUYiLCJhbGciOiJFUzI1NiIsImtpZCI6IlNjSkh2eEVHbWpGMjU4aXFzQlU0OUVlWUQwVzYwdGhWalRmNlphYVpJV0EifQ.3VJNj9MwEP0rq-HaJnEKt .

Entête

{"zip":"DEF","alg":"ES256","kid":"ScJHvxEGmjF258iqsBU49EeYD0W60thVjTf6ZaaZIWA"}

Charge utile

{"iss":" https://smarthealth.cards/examples/issuer ","nbf":1620992383.218,"vc":{"@context":["https://www.w3.org/2018/credentials/v1"],"type":["VerifiableCredential","https://smarthealth.cards#health-card","https://smarthealth.cards#immunization","https://smarthealth.cards#covid19"],"credentialSubject":{"fhirVersion":"4.0.1","fhirBundle":{"resourceType":"Bundle","type":"collection","entry":[{"fullUrl":"resource:0","resource":{"resourceType": "Patient","name" :[{"family":"Anyperson","given":[" John","B." ]}], "birthDate":"1951-01-20"} },{"fullUrl":"resource:1","resource":{"resourceType": "Immunization","status":"completed" ,"vaccineCode":{"coding":[{"system":"http://hl7.org/fhir/sid/cvx","code":"207"}]},"patient":{"reference":"resource:0"}, "occurrenceDateTime":"2021-01-01" ,"performer":[ {"actor":{"display":"ABC General Hospital "}}], "lotNumber":"0000001"} },{"fullUrl":"resource:2","resource":{"resourceType": "Immunization","status":"completed" ,"vaccineCode":{"coding":[{"system":"http://hl7.org/fhir/sid/cvx","code":"207"}]},"patient":{"reference":"resource:0"}, "occurrenceDateTime":"2021-01-29" ,"performer":[ {"actor":{"display": " ABC General Hospital "}}], "lotNumber":"0000007" }}]}}}}

Dans la charge utile affichée juste au-dessus, vous pouvez maintenant voir le texte en clair du blob que nous avons vu à l'origine lors du scan du code QR que nous avons généré. Il comprend le statut vaccinal, le lieu de la vaccination, la date de naissance, le moment de la vaccination et le numéro de lot du lot de vaccin. En gros, il s'agit de toutes les informations qui se trouveraient sur votre carte CDC papier.

Quelqu'un peut-il falsifier un dossier de vaccin numérique basé sur QR ?

N'importe qui peut « émettre » une carte de santé numérique. Vous pouvez en créer un avec un peu de connaissances en programmation, comme nous venons de l'expliquer. Comme celui immédiatement en dessous, qui est associé aux blobs de données ci-dessus.

Supposons que vous ayez perdu votre code QR et que les informations décodées soient enregistrées quelque part. Par exemple, si vous avez scanné le code QR vers une application de validation SHC, vous pouvez recréer un autre code QR à partir des informations décodées. Il existe des procédures pas à pas qui expliquent comment créer et valider des codes QR .

La Californie impose certaines limites à l'accès et à la génération de codes QR dans son nouveau Digital Vaccine Record. Par exemple, ces codes QR doivent être liés à l'adresse e-mail ou au numéro de téléphone de la personne qui a reçu le vaccin. De plus, lorsqu'une personne demande un enregistrement avec un code QR, le système californien génère une URL via laquelle cette personne peut accéder à son enregistrement, puis cette URL expire après 24 heures.

La Californie n'a pas identifié d'autres fonctionnalités de sécurité et anti-contrefaçon. Le seul cryptage ou transfert sécurisé est l'autorité de santé publique qui signe le dossier avec sa clé privée. Le code QR lui-même n'est pas crypté ; quelqu'un qui envisage de l'utiliser devrait être au courant de cela. Quant au risque de contrefaçon, puisque n'importe qui peut créer un code QR comme celui évoqué ci-dessus, il appartient à l'opérateur du scanner QR de vérifier la clé publique des données signées pour s'assurer qu'elle provient d'une autorité de santé publique valide.

Comment cela peut-il nous blesser ?

Changement de contexte pour les données

Même si le code QR du Digital Vaccine Record est un miroir numérique de votre carte CDC (plus la signature de l'autorité), les entreprises qui traitent votre Record peuvent changer le contexte de protection et d'utilisation. Par exemple, CLEAR Health Pass vous permet d'enregistrer votre code QR de santé dans leur application. Avec des entreprises comme CLEAR qui envisagent de devenir nos portefeuilles numériques , nous devons prendre en compte les risques liés au stockage de vos informations de santé avec d'autres.

Vous courez également le risque que l'ensemble de données analysé soit stocké, partagé et utilisé de manière inattendue, voire néfaste. Par exemple, certains bars scannent les identifiants à la porte pour s'assurer que les clients ont 21 ans et collectent également les informations sur les identifiants et les partagent avec d'autres bars . Si un scanner peut vérifier rapidement un fait simple sur un code-barres ou un code QR (comme les années depuis la naissance ou le statut vaccinal), il peut également stocker ce fait, ainsi que toutes les autres informations intégrées dans le code (comme le nom et la date de naissance) , et les données environnantes (comme l'heure et l'emplacement). Dans ce cas, tout comme un portier ne copiera généralement pas les informations sur votre carnet de vaccination papier, un portier ne doit pas copier les informations sur votre carnet de vaccination numérique. Pourtant, aucune loi californienne ne dicte actuellement ce point à ceux qui scannent ces codes QR de santé. Il n'est pas clair non plus ce que l'application de vérification « officielle » fera et quelles garanties de confidentialité elle aura.

De même, alors que la Californie a apparemment l'intention d'autoriser les entreprises à utiliser ces enregistrements pour exiger que les clients non vaccinés portent un masque, rien n'empêche les entreprises d'utiliser également ces enregistrements pour refuser l'admission aux clients non vaccinés. À ce stade, ces enregistrements deviendraient des videurs de vaccins numériques , ce à quoi EFF s'oppose.

Points d'identification nationaux

En l'absence de loi fédérale sur la confidentialité des données, nous devons supposer que lorsque les entreprises traitent nos données, peu importe à quel point les informations ou le but peuvent sembler bénins, elles les emprunteront par la voie la plus exploitante possible.

Le code QR dans le Digital Vaccine Record de Californie est une plate-forme d'identité numérique avec plus de données, qui peut devenir une partie du travail préparatoire pour les systèmes d'identification nationaux. L'EFF s'oppose depuis longtemps à de tels systèmes, qui, dans un référentiel du gouvernement central, stockeraient toutes sortes d'informations sur nos activités. L'EFF a soulevé cette préoccupation l'année dernière lorsqu'elle s'est opposée aux « passeports vaccinaux ». Nous voyons maintenant ces discussions se dérouler dans l' État de New York avec l'Excelsior Pass et au Royaume – Uni , où la société que le gouvernement a embauchée pour aider à créer un passeport vaccinal a suggéré de redéployer cette infrastructure dans un système d'identification national. En l'absence de loi fédérale sur la confidentialité des données, nous devons supposer que lorsque les entreprises traitent nos données, peu importe à quel point les informations ou le but peuvent sembler bénins, elles les emprunteront par la voie la plus exploitante possible.

Résultat final pour les dossiers de vaccins numériques

L'approche de la Californie est plus bienvenue que les passeports vaccinaux parrainés par l'État. Les utilisateurs n'ont pas besoin de télécharger une application, comme dans l'État de New York. C'est confortable de savoir que si quelque chose arrivait à votre carte papier, vous pouvez accéder à une copie numérique. La norme ouverte permet à une étude indépendante de comprendre le contenu de ce code QR, ce qui permet de garantir que les utilisateurs connaissent les risques potentiels et les scénarios pouvant survenir avec leurs données de santé.

Pourtant, nous souhaitons que la Californie ait ignoré le code QR. En outre, nous voulons davantage de garanties, similaires à celles du projet de loi actuel du Sénat de l'État de New York qui protège les données de santé liées au COVID-19, ainsi que toute sorte d'expansion du traitement des données qui se produit en raison de cette pandémie. La mise en place de protections des données maintenant, lorsque nous sommes en crise, contribuerait à garantir la confidentialité lors de l'utilisation future de ces technologies, pendant des périodes plus saines et lors de toute future crise sanitaire.