Les passeports de vaccins doivent être sécurisés de par leur conception
11 min read
Depuis le début du déploiement du vaccin Covid-19, la vaccination a été considérée comme le principal outil pour échapper au verrouillage, autoriser les voyages à l’étranger et rouvrir de grands événements publics. Il y a également des discussions sur le fait que certaines professions ne sont ouvertes qu’à ceux qui sont immunisés par la vaccination.
Cela a rapidement conduit à des propositions pour passeports vaccinaux, ou des certificats de vaccination, afin que les gens puissent prouver qu’ils ont été vaccinés et, à leur tour, aux préoccupations concernant la confidentialité et les questions éthiques que cela soulèverait.
Par exemple, qu’en est-il de ceux qui ne peuvent pas se faire vacciner pour des raisons médicales, telles que des réactions allergiques, ou des patients qui ont besoin de médicaments immunosuppresseurs, ce qui rend le vaccin inefficace? Devrait-on les empêcher de voyager, interdire certains emplois, assister à des événements publics et aller au restaurant? Ces personnes doivent être prises en considération et pourraient être protégées par les dispositions relatives au handicap de la loi sur l’égalité.
Aussi, comment pouvons-nous répondre les gens qui n’ont pas de smartphone? En 2020, seulement 84% des adultes possédaient un smartphone et ce chiffre est tombé à 77% des 60-65 ans et 53% des plus de 65 ans, donc une proportion importante de personnes qui auront reçu deux injections du vaccin par le début de l’été n’ont pas de smartphones.
Le concept d’un passeport ou d’un certificat de vaccination semble simple – simplement quelque chose qui prouve qu’une personne a été vaccinée – mais, comme pour la plupart des choses, ils deviennent plus complexes lorsqu’ils sont examinés de près.
Un presque équivalent, le certificat de vaccination contre la fièvre jaune, révèle certains de ces problèmes potentiels. Il comprend le nom, l’âge, le sexe, la nationalité et la signature du titulaire, ainsi que le numéro d’une pièce d’identité. Ensuite, il y a un espace pour plusieurs entrées pour la vaccination, chacune indiquant la date, la signature du professionnel de la vaccination, le fabricant et le lot du vaccin, la période de validité de la vaccination et, enfin, le cachet officiel du centre d’administration des vaccins.
Cela nous dit que ce n’est pas une simple question «oui, j’ai eu le vaccin» et révèle certaines des choses qui doivent être prises en compte.
On ne sait pas encore quel vaccin a été administré et quand cela compte, en raison de la possibilité que certains vaccins ne fonctionnent pas contre certaines variantes du virus et de la durée pendant laquelle les vaccins sont efficaces n’est pas encore connue.
Nous voyons également certaines données personnelles, la date de naissance et la signature du titulaire. Toute solution doit également prévoir pour ceux qui n’ont pas été vaccinés, mais qui ont récemment été testés négatifs, en enregistrant également les informations sur les tests. Cela couvrirait les passeports de vaccination pour les voyages, où une vaccination et un test négatif sont nécessaires et permettrait également d’utiliser le même système lorsqu’une vaccination ou un test négatif est acceptable.
Protection des données dès la conception
Le certificat de fièvre jaune, mis à jour en 2016, existe depuis plus de 80 ans et bien que les solutions d’aujourd’hui puissent sembler très différentes, il nous indique qu’il y a trois parties principales impliquées – le «détenteur», «l’émetteur» et le «vérificateur». – et que des données personnelles sont potentiellement impliquées.
Cela nous amène à la première étape de la protection de la vie privée dès la conception, ou comme le dit maintenant le Bureau du commissaire à l’information, la «protection des données dès la conception» – établissant le contexte en termes de besoins des parties concernées (au moins trois dans ce cas) et puis en établissant un ensemble de protection des données / confidentialité des principes:
- Premièrement, le vérificateur doit savoir que le titulaire du certificat a un vaccin valide, ou un test qui est toujours actif et efficace contre les variantes, que le certificat est authentique et a été émis par un émetteur de confiance. Le validateur n’a pas nécessairement besoin de connaître l’identité du titulaire.
- Deuxièmement, le titulaire veut pouvoir prouver qu’il a une vaccination et qu’elle est toujours efficace, ou qu’il a une raison valable de ne pas pouvoir être vacciné. Cependant, ils ne veulent pas divulguer plus de données personnelles qui sont absolument nécessaires et devraient être en mesure de choisir quand et à qui ils révèlent leur statut vaccinal et les données à l’appui.
- Troisièmement, l’émetteur du certificat veut s’assurer que le certificat n’est délivré qu’à la personne qui a été vaccinée, que les informations sont correctes et que le certificat ne peut être copié, modifié ou falsifié. Ceci est également important pour les autres parties, mais il s’agit principalement d’un risque contrôlé par l’émetteur.
Au Royaume-Uni, les données de vaccination sont détenues par le NHS, de sorte que d’autres fournisseurs d’applications pourraient être considérés comme l’émetteur, le NHS étant une quatrième partie – le fournisseur de données – avec des exigences similaires à celles de l’émetteur. Cela ajoute aux problèmes de sécurité et de protection des données. En outre, tout programme de voyage à l’étranger nécessiterait un accord international au niveau gouvernemental pour garantir l’interopérabilité et l’acceptation.
À partir de là, nous pouvons identifier certains principes de sécurité de base, notamment: le chiffrement des données au repos et en transit; utilisation de l’authentification mutuelle; signature des données pour garantir l’authenticité et l’intégrité, les clés de signature étant fortement protégées; et la minimisation du stockage et de la transmission de toute donnée personnelle.
Enfin, il est important de disposer de données à jour, de sorte que le fournisseur de données doit être en mesure de transmettre les certificats mis à jour au titulaire pour permettre de nouveaux résultats de test et d’informations sur la vaccination, ou de se remettre d’une compromission des clés de signature.
Cela peut ensuite être complété par des principes plus généraux, tels que principes de développement sécurisé (environnement de développement, conception, codage, etc.), processus de divulgation des vulnérabilités et des incidents, surveillance et signalement des anomalies et des tentatives d’exploitation ou d’interférence avec le système.
Passeports de vaccins et certificats Covid-19
Nous devons également nous rappeler que les caractéristiques d’un passeport vaccinal pour les voyages internationaux et d’un certificat Covid-19 pour l’accès aux sites à l’échelle nationale auront différentes parties prenantes avec des motivations différentes.
Un passeport vaccinal nécessite un accord international pour être utilisé aux points de passage des frontières où les détenteurs auront des documents d’identité séparés et l’accent sera mis sur le fait d’empêcher les personnes non conformes d’entrer. D’un autre côté, un certificat national Covid-19 devrait permettre un accès rapide pour amener les gens dans un lieu sur la base d’une simple réponse par oui ou par non.
Le domaine sur lequel je voudrais me concentrer est de minimiser l’utilisation des données personnelles et de placer les données nécessaires sous le contrôle du titulaire, étayées par de bonnes pratiques de conception de sécurité. Traditionnellement, nous avons créé des bases de données centrales et extrait des informations du centre à la demande, saisies par l’identité d’un utilisateur.
Cependant, l’utilisation inutile de l’identité ajoute aux problèmes de sécurité et de confidentialité et il y a un mouvement vers une identité souveraine, où les utilisateurs détiennent leurs propres informations et prennent leurs propres décisions sur le moment et avec qui ils veulent les partager. Mais il y aura souvent encore un besoin pour un tiers de confiance central pour vérifier indépendamment les données.
Dans ce cas, le titulaire n’a qu’à détenir suffisamment d’informations pour satisfaire le vérificateur et disposer d’un moyen de prouver qu’elles les concernent. Une approche serait que le titulaire ait un certificat contenant ses données vaccinales (comme pour le certificat de fièvre jaune) et le numéro d’une pièce d’identité avec photo (comme un passeport ou un permis de conduire) signé par le fournisseur de données.
Cela pourrait être affiché sous forme de code QR et le vérificateur pourrait demander à vérifier le document d’identité si nécessaire et à vérifier la signature sur le certificat à l’aide de la clé publique du fournisseur de données. Il n’est pas nécessaire que le vérificateur contacte le fournisseur de données.
Une approche légèrement différente, utilisé en Israël, par exemple, consiste à afficher une photographie du titulaire à côté du code QR. Cependant, cela pose le défi de lier l’image aux données du vaccin dans un certificat qui peut être vérifié par le vérificateur sans révéler les données de la photo au vérificateur pour éviter les problèmes de confidentialité liés à la reconnaissance faciale.
Ces approches se prêtent aux méthodes de vérification de haut niveau utilisées par l’application NHS, qui utilise une photo d’identité et une vidéo de l’utilisateur pour faire correspondre le téléphone de l’utilisateur à l’utilisateur et à sa photo d’identité. Aussi, ce type d’approche est transférable à un certificat papier comprenant simplement un QR code, ou QR code et photo pour ceux qui n’ont pas de smartphone. C’est également simple pour le vérificateur, qui n’aurait besoin que d’un scanner de code QR approprié, ou même simplement d’une application pour smartphone.
Les exigences relatives à un certificat de vaccin devraient donc être simples à mettre en œuvre en toute sécurité, sans problèmes majeurs de confidentialité, à condition qu’il soit abordé de la bonne manière – en identifiant simplement les besoins des différentes parties et en minimisant l’utilisation des informations personnellement identifiables.
Le certificat doit être difficile à falsifier ou à copier et le titulaire du certificat doit être en mesure de prouver son statut vaccinal sur demande – ni plus, ni moins. Le titulaire n’a pas besoin de prouver son identité (nom, adresse, etc.), mais simplement qu’il a le droit de détenir le certificat.
En termes de questions éthiques, le principal est de savoir comment traiter ceux qui ne peuvent pas être vaccinés en raison de problèmes médicaux. Tout certificat devrait simplement l’indiquer et, idéalement, ne serait pas précis sur leur état de santé, mais encore une fois être vérifiable comme provenant d’une autorité médicale. Cependant, il s’agit plus d’une question d’éthique et de politique que de confidentialité et de sécurité.
Sécurité et mise en œuvre
Il y aura inévitablement ceux qui tenteront de copier un certificat ou d’emprunter le certificat d’un parent âgé, et d’autres qui essaient de falsifier des certificats, ou créez des copies et proposez-les à la vente sur Internet. Le lien entre la personne et le certificat doit donc être fort.
Le lien vers un numéro de passeport ou de carte d’identité peut être une meilleure option pour les voyages internationaux, tandis qu’une simple photographie liée au certificat conviendrait mieux pour l’accès aux sites nationaux où certaines personnes peuvent ne pas avoir de documents d’identité.
Comme mentionné ci-dessus, au Royaume-Uni, les vaccins et autres informations sur la santé sont détenus par le NHS, et d’autres pays ont des organisations nationales équivalentes. Bien que ces organisations de santé centrales puissent fournir les données aux développeurs d’applications, cela augmenterait presque certainement le risque de compromission et de duplication.
Il existe plusieurs propositions d’applications de passeport vaccinal et vous pouvez en trouver dans l’App Store de votre smartphone. La plupart d’entre eux contiennent des données de santé et personnelles beaucoup plus sensibles qui sont nécessaires pour un passeport vaccinal et il n’est pas clair comment ils obtiendraient les données de vaccination vérifiées. En substance, ce ne sont que des conteneurs pour les certificats.
Au Royaume-Uni également, il existe la possibilité d’augmenter l’application NHS d’origine, mais comme il y aura probablement une forte demande de certificats de vaccin s’ils sont nécessaires pour participer à des événements publics, la demande peut submerger le processus de vérification rigoureux si ce service n’est pas mis à l’échelle.
Alternativement, l’application de suivi et de localisation NHS Covid-19 pourrait être utilisée et le système de suivi et de localisation bénéficierait d’une augmentation potentielle de l’adoption. Cependant, actuellement, il est délibérément anonyme et ne dispose d’aucune vérification d’identité, donc l’ajouter est plus difficile et pourrait avoir un impact négatif sur sa fonction d’origine.
Une image qui change rapidement
Il y a beaucoup d’activité dans ce domaine, avec l’UE développe son propre certificat vert à utiliser au sein de l’UE, aux États-Unis et dans d’autres pays qui développent des systèmes nationaux. Ceux-ci sont en grande partie basés sur l’utilisation d’un certificat signé affiché sous forme de code QR, mais ils ne seront probablement pas interopérables au niveau international.
Le 28 janvier, des responsables de l’Organisation mondiale de la santé ont déclaré que les gouvernements ne devraient «pas introduire d’exigences de preuve de vaccination ou d’immunité pour les voyages internationaux comme condition d’entrée», en partie pour des raisons éthiques, mais aussi en raison du risque que les passeports vaccinaux créent un faux sentiment. de sécurité.
Toujours en janvier, le Premier ministre britannique Boris Johnson a déclaré que les certificats de vaccin ne seraient pas introduits, mais le mois dernier, les certificats de statut Covid-19 étaient à l’étude. Plus récemment, le secrétaire à la Santé, Matt Hancock, a déclaré que les certificats ne devraient pas être introduits tant que tout le monde n’a pas été vacciné et qu’il a maintenant été annoncé que les certificats de statut Covid-19 devaient être testés, bien que la manière exacte dont ils seront utilisés ne soit toujours pas claire.
La seule chose qui est certaine à propos de Covid-19 est l’incertitude, mais il semble maintenant que les soi-disant passeports / certificats de vaccination sont sur le point de devenir une réalité au Royaume-Uni.
