Fuite de données sanitaires vers Akamai lors de la conversion 2D-Doc -> DCC

La dernière version de TousAntiCovid intègre un service pour convertir les pass sanitaires au format 2D-Doc vers le format européen DCC. Cette conversion doit forcément passer par un serveur central qui re-signe les données au nouveau format.

Dans TAC, la conversion passe par un appel à l'API https://portail.tacv.myservices-ingroupe.com/api/client/convertor/decode/decodeDocument Hors, le serveur portail.tacv.myservices-ingroupe.com est actuellement géré par l'intermédiaire technique Akamai.

Akamai voit donc passer en clair toutes les données du pass sanitaire: nom, prénom, date de naissance, infos sanitaires (type de vaccin, nombre d'injection, date de la dernière injection, ou date du test PCR/antigénique). Akamai est soumis au droit américain, et devra donner accès aux données si la NSA le demande (selon le CLOUD ACT).

C'est une grave fuite de données de santé, qui doit être corrigée au plus vite! Il faut minimiser le nombre d'intermédiaires qui ont accès aux données de santé, et si possible se limiter à des serveurs gérés directement par le ministère de la santé.

Crédit: ce problème a été découvert par @gilbsgilbs