« Après plusieurs mois d’attente injustifiée, IN Groupe a enfin répondu à la demande de la CNIL de publier le code source de TousAntiCovid Verif : gitlab.inria.fr/tousanticovid-… et gitlab.inria.fr/tousanticovid-… .
Encore une fois, ils jouent la carte de la comédie sécuritaire burlesque… »
▻https://threadreaderapp.com/thread/1422235610094342146.html
Si vous vous attendiez à une vraie démarche open-source et transparente, vous allez être déçus. Ils expliquent dès le début qu’ils ont publié seulement les parties du code qu’ils voulaient bien montrer. De la sécurité par l’obscurité donc… Image
Les « raisons de sécurité » ne sont pas explicitées, mais elles sont de toute façon ridicules : n’importe qui peut lire toutes les données du QR Code du #PassSanitaire. N’importe qui peut activer le mode étendu sur TousAntiCovid Verif avec très peu de moyens et de connaissances.
N’importe qui peut créer un clone de TousAntiCovid Verif qui aspire les données des passes en tâche de fond. D’ailleurs, l’activation même du mode étendu n’a rien d’exceptionnellement dissimulé : il suffit de scanner un QR Code qui encode un JWT signé par IN Groupe.
De plus, d’autres parties du code source sont caviardées sans raison, comme la clé publique qui permet de vérifier la signature des JWT d’activation du mode étendu, l’URL et le jeton d’accès à leur API. On peut retrouver ces valeurs en 5 minutes dans l’APK, c’est ridicule 🤡. Image
Comme pour @TousAntiCovid, on devra se contenter de commits squashés sans description des changements ou de leur raison. Le repo est hébergé sur le GitLab de l’INRIA, on ne peut donc ouvrir des tickets que sur invitation et les pull requests sont complètement fermées. Image
Pour couronner le tout, ils ont publié le code sous une licence propriétaire bien dégueulasse qui interdit notamment les forks et la redistribution des sources : gitlab.inria.fr/tousanticovid-… . Une usine à gaz juridique plutôt qu’une licence simple, libre et transparente 😔 …