Hop hop hop, je crée mon compte LinuxFR en vitesse pour partager!
Pour ceux et celles qui n'auraient pas la confiance absolue dans l'outil gouvernemental pour générer des attestations dérogatoires, en voilà un sous MIT: https://github.com/Hyask/covid19-attestator
Même si une partie semble être faite côté client, la page web envoie quand même une requête au serveur, et l'URL peut ensuite se faire curl sans problème pendant un certain temps (moins de 2h, visiblement, mais quand même).
La page traitant de la confidentialité nous précise bien que rien n'est collecté, ce qui est déjà un très bon point, mais l'outil n'étant visiblement pas publié (j'ai peut-être juste pas trouvé?), et une requête au serveur étant faite, dans le doute, je préfère le mien.
Je pense qu'il conviendra à la plupart des gens ici qui savent faire tourner un bout de Python, mais si quelqu'un se sent d'attaque pour proposer une UI plus sympa, les PRs seront acceptées avec joie!
# en local
Posté par Mikis . Évalué à 2.
Autre proposition (pas de moi), en local : https://github.com/teymour/attestion-covid19
[^] # Re: en local
Posté par Dreamkey . Évalué à 2.
D'un côté ça me rassure, je pensais que le QR code contenait un lien prouvant à celui qui le scanne que M. Dupont a bien fait une demande d'attestation à l'heure indiquée.
De l'autre je me dis que les applications qui généraient les attestations à la volée - et qui avaient été interdites - vont réapparaître, avec juste un pdf qui aura la bonne tête et 15 minutes de moins que l'heure réelle.
[^] # Re: en local
Posté par fearan . Évalué à 6.
Yep, j'aurai pensé que le qrcode était signé, mais même pas.
En même temps avec les attestations papier tu pouvais en préparer 4/5, les ranger dans des poche différentes et sortir 4/5 heures; donc de ce point de vue là ça ne change pas grand choses envers ceux qui veulent tricher vis à vis du confinement.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: en local
Posté par SChauveau . Évalué à 1.
Empêcher les gens de tricher tout en n'enregistrant aucune information personnelle me semble difficile à obtenir. Même si le document était daté et signé par un service web, qu'est ce qui empêcherait d'en régénérer un automatiquement toutes les 1/2 heures?
[^] # Re: en local
Posté par fearan . Évalué à 4.
sha1sum ou md5sum des noms/prénoms/adresses que tu purges le soir à minuit; ça permet de n'avoir qu'une attestation par personne par jour. Évidemment tu peux aussi générer avec tout tes prénoms, juste les 2 premiers, mais ça limite; pour éviter cela tu peux stripper le tout des caractères d'espacements, et autre virgule ou tiret.
Alors oui techniquement c'est une information personnelle; et tu peux même retrouver ceux qui ont généré l'attestation, en prenant l'annuaire.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: en local
Posté par SChauveau . Évalué à 1.
J'аvаis аussi pensé аux аpproches bаsées sur un checksum mаis en fаit elles serаient аssez fаcile à contourner en introduisаnt de petites modificаtions dаns les données. Pаr exemple, tout les 'а' de ce messаge sont en fаit le cаrаctère A cyrillique. Ni vu ni connu!
Et puis, n'аvoir droit qu'à une аttestаtion pаr jour n'est pаs vrаiment réаliste (sаuf peut être pour lа sortie 'courses' et encore…).
[^] # Re: en local
Posté par Donk . Évalué à -4.
Une sortie par jour c'est beaucoup trop, une sortie par semaine est largement suffisant.
[^] # Re: en local
Posté par SChauveau . Évalué à 1.
Donc cette semaine, je dois choisir entre aller voir mon docteur, acheter à manger ou faire un peu d'exercice. C'est cornélien!
Après on peut aussi se la jouer à la chinoise en barricadant les gens à l'intérieur de leur domicile.
[^] # Re: en local
Posté par Dreamkey . Évalué à 4.
Dans l'article de Next INpact ils montrent que les données sont enregistrées dans le localStorage, donc elles pourraient être relues pour refuser de générer une attestation si elles sont trop récentes.
Bien sûr rien n'empêcherait de le vider, mais ça filtrerait les moins technophiles.
Par contre certains dans les commentaires ont remonté quelque chose d'intéressant : rien ne dit que l'application utilisée dans les contrôles ne remonte pas l'info que M. Dupont a été contrôlé à 10h23 avec une attestation valide jusqu'à 10h50 !
# Super !
Posté par redo_fr . Évalué à -2.
Le mien est beaucoup moins sophistiqué, Il s'appelle "authorisator" (parce qu'il autorise à mort ),
ça marche aussi avec le tien ;-)
Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.
# Licence
Posté par Anonyme . Évalué à 7. Dernière modification le 06 avril 2020 à 21:52.
Apparemment le code sur lequel se base le générateur du gouvernement est aussi sous MIT.
Mais bon, grâce aux licences « permissives », le gouvernement à pu augmenter la quantité de code propriétaire dans le monde, c’est cool.
[^] # Re: Licence
Posté par ff9097 . Évalué à -6.
Il y en a qui sont fiers pour pas grand chose quand même
[^] # Re: Licence
Posté par Ben . Évalué à 1.
Le générateur est lui même sous licence MIT, je ne comprends pas vraiment ton sujet ? ou alors je n'ai pas compris ta remarque…
[^] # Re: Licence
Posté par Anonyme . Évalué à 1.
Au moment ou j’ai publié mon commentaire, je ne savais pas que le gouvernement avait publié le code sur Github.
# pas de danger
Posté par lovasoa (site web personnel) . Évalué à 4.
La requête serveur ne contient aucune des informations rentrées dans le formulaire, elle n'est là que pour télécharger le document PDF vierge qui sera rempli ensuite. Elle pourrait aussi bien être faite avant la saisie des informations. Et le code n'est pas libre, mais il est open-source, puisqu'un sourcemap est fourni. Le code est clair et correctement commenté.
[^] # Re: pas de danger
Posté par Anonyme . Évalué à 7.
Personne n’utilise Open Source dans le sens « sources disponibles mais licence non libre ». Pour ça les anglophones utilise source available.
# Pas confiance
Posté par Jean-Baptiste Faure . Évalué à 10.
Qu'est-ce qui me prouve que ton code n'envoie pas les données personnelles de l'utilisateur vers un serveur ? Le code contient un énorme binaire et je ne vois pas comment m'assurer que ce truc là n'est pas malfaisant. Donc aucune raison de faire plus confiance à toi qu'au gouvernement, bien au contraire.
Si tu n'as pas confiance dans le code du générateur officiel, pourquoi n'as-tu pas commencé par démonter l'analyse de NextInpact qui répond en particulier à cette interrogation sur la requête serveur du formulaire ?
[^] # Re: Pas confiance
Posté par SChauveau . Évalué à 7.
La sécurité réside ici dans la simplicité. N'importe qui avec quelques connaissances de base en Python peut analyser ce code qui ne fait même pas 200 lignes. Je suis d'accord que l'utilisation d'un gros blob binaire n'est pas des plus judicieuses mais une analyse rapide du code montre qu'il ne s'agit que d'un fichier image (PNG) encodé en base64 (et donc facilement déchiffrable avec une commande comme
base64 -d).L'analyse de Nextinpact est intéressante mais elle est loin d'être à la portée du premier venu. De plus même à supposer que j'ai confiance en Nextinpact ou que je fasse l'analyse moi même, qu'est ce qui me prouve que le code du serveur ne sera pas modifié demain? Un code source local est beaucoup plus sûr.
[^] # Re: Pas confiance
Posté par Jean-Baptiste Faure . Évalué à 9.
Justement, j'aurais attendu, de la part de quelqu'un qui se pointe ici pour la première fois pour faire la retape d'un code alternatif sur un truc aussi sensible, qui prétend donc de ce fait être compétent, qu'il s'efforce de susciter la confiance des lecteurs en proposant une contre-analyse bien charpentée. Franchement la présentation du journal a sur moi exactement l'effet inverse.
[^] # Re: Pas confiance
Posté par barmic 🦦 . Évalué à 1.
Pire que de l'analyse de code python ?
Et moins à jour si le format du QRCode change.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Pas confiance
Posté par SChauveau . Évalué à 6.
Voyons voir! D'un coté on a 200 lignes de python plutôt simple. De l'autre on a 2 fichiers javascript. Le premier faisant 560Ko et, après réindentation, 19000 lignes. Le second contient un vrai blob binaire de 122ko qui après décodage se révèle contenir 61Ko de javascript offusqué du genre
:function(){return'\x64\x65\x76';},'\x67\x65\x74\x43\x6f\x6f\x6b\x69\x65':function(_0x30cea8,_0x181f6b){_0x30cea8=_0x30cea8||function(_0x2d9d79){return _0x2d9d79;};var _0x169e37=_0x30cea8(new RegExp('\x28\x3f\x3a\x5e\x7c\x3b\x20...Je n'arrive pas à me décider … lequel est le pire à analyser …
[^] # Re: Pas confiance
Posté par barmic 🦦 . Évalué à 1.
Ni a suivre le fil de la discussion apparemment, j'ai parlé et cité l'analyse de Nextimpact. L'un est déjà analysé par Nextimpact et probablement par d'autres, l'autre vient d'un obscure site de linux pour un lancer un script que tu n'arrive pas à lancer sans avoir installé python (sans avoir oublié de l'ajouté à ton path) et installé
reportlab.Ça ou lire une analyse d'un site plutôt reconnu.
Que toi et moi, nous trouvions ta solution plus simple et plus sûre c'est logique, mais ça demande une base de connaissance qui n'est pas à la portée du premier venu.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# Code source officiel publié
Posté par Jean-Baptiste Faure . Évalué à 10.
Le code du générateur d'attestation officiel a été publié ce soir : https://github.com/LAB-MI/deplacement-codiv-19
# Petit problème potentiel
Posté par SChauveau . Évalué à 10.
Ce qui m'embête avec ces générateurs alternatifs c'est qu'ils peuvent devenir obsolète à tout moment si le gouvernement décide de mettre à jour le générateur officiel. Le risque est donc d'avoir à expliquer à un gendarme pourquoi ton attestation datée utilise un format déjà obsolète depuis plusieurs heures.
[^] # Re: Petit problème potentiel
Posté par devnewton 🍺 (site web personnel) . Évalué à 5. Dernière modification le 07 avril 2020 à 08:45.
La bonne démarche aurait été de publier une spec.
(Ou de ne pas demander d'attestation, mais les solutions low tech et low bureaucracy ne sont pas à la mode).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Petit problème potentiel
Posté par Psychofox (Mastodon) . Évalué à 10. Dernière modification le 07 avril 2020 à 09:37.
C'est déjà assez stupide ce délire avec l'attestation.
J'habite en Espagne et c'est assez simple. Si je me fais contrôler on me demande mon addresse, si je dis que je suis partis faire des courses et que je ne suis pas sur le chemin des 2 commerces alimentaires les plus proche, c'est engueulade ou prune. Si je dis que je vais travailler et que je ne suis pas sur le chemin le plus direct pour m'y rendre, idem. Si je suis dehors, que je n'ai pas de chien au bout d'une laisse et que je suis ni sur le chemin de mon travail, ni parti faire des courses, pareil.
Je ne vois pas trop ce qu'une attestation apporte.
[^] # Re: Petit problème potentiel
Posté par Jean-Baptiste Faure . Évalué à 3.
Donc c'est soumis à l'arbitraire de l'appréciation du policier et tu n'as aucun moyen de contester ensuite.
D'après tes exemples, tu ne peux pas sortir pour seulement te dégourdir les jambes si tu n'as pas de chien.
Chaque état a ses façons d'être liberticide et je préfère encore la française.
[^] # Re: Petit problème potentiel
Posté par Psychofox (Mastodon) . Évalué à 1. Dernière modification le 07 avril 2020 à 14:47.
Non. Mais même si on avait le droit ça ne serait pas compliqué d'établir si tu zones là où tu n'as pas lieu d'être et si tu fais juste un passage ou pas. En tout cas dans ma rue les véhicules de la police et de l'armée passent en général 2x dans la même rue à quelques minutes d'intervalle et s'arrêtent seulement si c'est suspect ou que quelqu'un est grosso merdo au même endroit.
Ce serait liberticide si c'était une situation permanente. Dans le cas précis c'est de la gestion de crise et c'est un peu ce qu'on attend de son gouvernement. CQFD on l'a demandé indirectement et c'est censé être limité dans le temps donc ce n'est pas une perte de liberté.
[^] # Re: Petit problème potentiel
Posté par Jean-Baptiste Faure . Évalué à 0.
Ce n'est pas l'aspect limitation de la liberté d'aller et venir que m'inquiète ici, c'est plutôt tous les effets collatéraux, dont, en particulier, les violences domestiques que ça ne manque pas d’entraîner.
[^] # Re: Petit problème potentiel
Posté par passant·e . Évalué à 2.
Je ne vois pas le lien entre tes inquiétudes concernant la "violence domestique" et ton propos précédent. La lutte contre cette forme de violence n'est pas mise en pause pendant cette période de confinement
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: Petit problème potentiel
Posté par Jean-Baptiste Faure . Évalué à 3.
Le fait que les gens qui n'ont pas de chien à faire pisser ne puisse pas sortir se dérouiller les jambes est une cause probable d'augmentation des violences intra-familiales pendant le confinement. Sortir 1 heure par jour sans ses co-confinés, permet de faire baisser la pression et le stress.
[^] # Re: Petit problème potentiel
Posté par Kerro . Évalué à 3.
Se dégourdir les jambes entre dans la catégorie « déplacements brefs […] liés à activité physique ».
[^] # Re: Petit problème potentiel
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Attention un pote s'est prit une amende, car il n'avait pas de tenue de sport…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Petit problème potentiel
Posté par Jérôme FIX (site web personnel) . Évalué à 1.
Vu que c'est aussi pour la promenade :
cf. https://www.gouvernement.fr/info-coronavirus
Soit ton pote affabule et ne te dis pas tout, soit ce sera facile de faire sauter la contravention si c'est le motif !
Jérôme.
[^] # Re: Petit problème potentiel
Posté par Jean-Baptiste Faure . Évalué à 2.
Ma remarque concernait la limitation des déplacement en Espagne, qui, apparemment, interdit les sorties pour pratiquer une activité physique.
# Astuce pour utiliser le site officiel
Posté par SChauveau . Évalué à 5.
Pour ceux qui voudraient utiliser le site officiel, j'ai remarqué que Firefox ne mémorise pas les champs d'une fois sur l'autre. Je me suis donc écrit un petit bookmarklet pour les remplir automatiquement.
Pour l'utiliser, il suffit de créer un bookmark et de copier le code ci-dessus (avec le préfixe 'javascript:') dans le champ Location.
Il suffit ensuite d'activer le bookmark depuis le formulaire pour remplir les champs.
Testé sur Firefox 74.
[^] # Sur navigateur mobile aussi ?
Posté par Arthur Accroc . Évalué à 3.
Très bonne idée, mais…
Est-ce censé fonctionner sur la version mobile de Firefox ?
À l’essai, ça ne m’a pas paru flagrant (je tapote dessus mais je reste sur la liste des signets ; si je reviens en arrière, ça me recharge la page vierge), mais j’ai peut-être loupé quelque chose.
S’il faut emmener l’ordinateur ou générer le PDF dessus et le transférer sur le téléphone, l’intérêt est malheureusement plus limité (même si ce n’est pas de ta faute si ça n’est pas pris en charge par le navigateur).
Après, le site du gouvernement qui implique de tout remplir à chaque fois a aussi un intérêt limité par rapport à quelques imprimés préremplis, sauf si on n’a pas d’imprimante.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Sur navigateur mobile aussi ?
Posté par SChauveau . Évalué à 1.
Je n'ai effectivement pas testé sur mobile mais je ne comprend pas trop pourquoi tu veux «retourner en arrière». Le bookmarklet exécute le javascript sur la page en cours. Il faut donc commencer par charger le formulaire puis exécuter le bookmarklet sans changer de page.
Une recherche rapide de 'bookmarklet android' semble indiquer qu'ils sont supportés sur de nombreux browsers web sur mobile (Firefox, Chrome, Opera, …).
[^] # Re: Sur navigateur mobile aussi ?
Posté par SChauveau . Évalué à 2.
Je viens d'installer Firefox sur mon mobile et j'ai réussi à le faire fonctionner en tapant le nom du bookmarklet dans la barre d'url. Cela ne marche effectivement pas depuis le menu Bookmark probablement parce que le comportement par défaut est d'ouvrir une nouvelle page.
[^] # Re: Astuce pour utiliser le site officiel
Posté par barmic 🦦 . Évalué à 2.
Ça m'embête d'utiliser de remettre la barre de bookmark pour ça et j'ai tampermonkey d'installé, donc à la place j'ai créé un userscript. Les seuls modifications sont pour éviter les warnings de l'éditeur de tampermonkey.
Merci pour le snippet !
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Astuce pour utiliser le site officiel
Posté par Benoît Bailleux (Mastodon) . Évalué à 2.
Hello.
Excellent.
Juste deux choses (3, en fait) :
1. Il est probablement plus simple d'utiliser des guillemets doubles (permet d'insérer plus facilement des apostrophes, comme dans le nom ou l'adresse)
2. Utiliser également des guillemets pour la valeur du code postal (sinon perte du 0 initial pour les premiers départements)
3. Il est où le dépôt Git ? :-)
[^] # Re: Astuce pour utiliser le site officiel
Posté par SChauveau . Évalué à 2.
Merci. Bonnes remarques.
Concernant le dépôt git, j'avais prévu d'en créer un sitôt que j'aurais eu fini d'écrire le GUI multi-platforme en Java et le paquet Flatpak.
[^] # Re: Astuce pour utiliser le site officiel
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Si tu galères comme moi avec Flatpak, tu peux faire une appimage comme https://github.com/devnewton/newton_adventure.appimage
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# en papier
Posté par papap (site web personnel) . Évalué à 6.
le plus simple pour éviter quoique ce soit est de le faire sur une feuille:pas de fuites de données.
[^] # Re: en papier
Posté par Jean-Baptiste Faure . Évalué à 1.
Va savoir. Si les policiers qui contrôlent sont équipés de caméras piéton, peut-être que l'attestation et la carte d'identité que tu leur montres lors d'un contrôle sont photographiées. Ensuite il est facile de stocker tout ça dans une base de données. ;-)
[^] # Re: en papier
Posté par ff9097 . Évalué à 2.
Ton nom, prénom et adresse sont déjà stockés dans pas mal de base de données de l'état
[^] # Re: en papier
Posté par etbim . Évalué à 2.
Et vous oubliez la vidéosurveillance…
Mais au moins avec le papier, on n'est fliqué que en cas de contrôle :)
# Confiance ?
Posté par stopspam . Évalué à 1.
C'est un générateur de PDF. Je ne vois pas le problème de confiance ? Que le gouvernement log les saisies ? Et alors, c'est le gouvernement, le même qui a qui je vais devoir montrer mon attestation en cas de contrôle.
[^] # Re: Confiance ?
Posté par etbim . Évalué à 7.
Sérieusement sur linuxfr, en 2020, vous nous resservez encore le coup du «rien à cacher et puis de toute manière l'état à toutes les infos» ?
[^] # Re: Confiance ?
Posté par stopspam . Évalué à 3.
Non pas du tout. Mais là, je trouve exagéré qu'un simple formulaire qui fait du PDF génère autant d'outils copier/coller pour… rien.
# Sympa
Posté par aboulle . Évalué à -1.
J’aime bien l’idée. J’ai pondu une GUI basée sur un notebook jupyter et
ipywidgets. Ça marche en local avec possibilité de garder le formulaire rempli d’une fois sur l’autre. Pour une version ligne c’est faisable avecvoilamais j’ai pas trouvé le moyen de passer le pdf généré avec reportlab dans une IFrame de jupyter :-(Pull request faite. Source ici dans la branche jupyter-gui: https://github.com/aboulle/covid19-attestator/tree/jupyter-gui
# Papier et stylo effaçable
Posté par romi . Évalué à 2.
pour moi c'est un papier avec la version en cours et un stylo effaçable
ça permet d'être en règle et d’économiser du papier et de l'encre!
[^] # Re: Papier et stylo effaçable
Posté par mahikeulbody . Évalué à 1.
Si tu utilises un stylo effaçable, tu n'es pas en règle : c'est explicitement interdit. J'imagine que tu voulais plutôt dire "ça permet de tromper le policier/gendarme et d’économiser du papier et de l'encre !".
[^] # Re: Papier et stylo effaçable
Posté par Tit . Évalué à 1. Dernière modification le 10 avril 2020 à 10:48.
a) je ne savais pas que c'est explicitement interdit, c'est dit où ? moi je n'utilise pas un stylo effaçable mais pour le sorties "courte balade" je garde le même papier, je barre les anciennes date et heure, et dessous je mets les nouvelles, c'est aussi interdit ?
b) je ne comprends pas ton "ça permet de tromper le policier/gendarme", s'il respecte les (autres)règles, par ex sortie moins d'une heure dans un rayon de moins d'un km de chez lui, en quoi c'est tromper les policiers que d'utiliser plusieurs jours la même feuille, en mettant juste les dates et heures à jour ?
[^] # Re: Papier et stylo effaçable
Posté par Jean-Baptiste Faure . Évalué à 2.
ça permet de corriger au dernier moment, à la vue du contrôle imminent. Donc ce n'est plus une "preuve" que tu es sorti pour 1 heure maximum.
[^] # Re: Papier et stylo effaçable
Posté par Tit . Évalué à 1. Dernière modification le 10 avril 2020 à 16:53.
ok, merci je n'avais pas pensé à ça, mais on pourrait aussi sortir avec un formulaire non daté et le remplir au dernier moment, si on veut tricher et qu'on aime le risque ;-) du coup je vois pas trop en quoi le fait que ce soit effaçable montre qu'on est de mauvaise foi
[^] # Re: Papier et stylo effaçable
Posté par Mikis . Évalué à 3.
Ou encore plus simple, avoir plusieurs formulaires avec des heures différentes. Faut juste pas se tromper pour sortir le bon.
[^] # Re: Papier et stylo effaçable
Posté par Mikis . Évalué à 4.
Tu as la source ? Je n'ai pas trouvé.
[^] # Re: Papier et stylo effaçable
Posté par mahikeulbody . Évalué à 1.
https://www.service-public.fr/particuliers/actualites/A13952
(cherche le mot "indélébile" dans la page)
[^] # Re: Papier et stylo effaçable
Posté par Kerro . Évalué à 4.
C'est sur un site officiel, mais n'est pas un texte de loi.
J'ai tenté de vérifier, mais je n'ai pas trouvé de texte législatif relatif aux attestations.
J'ai juste l'article 3 du décret du 23 mars 2020 qui reste très vague.
Quelqu'un a mieux ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.