Le 16 septembre dernier, Francetvinfo publiait un article avec une photo d’illustration montrant le Premier Ministre tendant son téléphone avec son Pass Sanitaire bien visible. J’ai été le premier a repérer l’article et j’ai alerté les services du Premier Ministre. Depuis des semaines je vois des articles de presse avec des Pass Sanitaire bien lisibles et j’essaye d’alerter les propriétaires des Pass.

Photo d'un téléphone montrant un QR Code qui n'est pas un Pass Sanitaire

C’est ce genre d’image qu’on peut trouver dans la presse ou sur les réseaux sociaux : un téléphone avec un QR Code tout à fait lisible. Ici bien sûr le QR Code n’est pas un Pass Sanitaire mais une image d’illustration factice. Parfois le QR Code est flouté, mais parfois il est lisible comme sur cette image. On peut alors accéder aux informations de santé du propriétaire du Pass et potentiellement l’utiliser en usurpant son identité. C’est illégal, bien sûr, mais c’est techniquement possible. Si vous utilisez un QR Code d’un Pass qui n’est pas le votre, vous risquez une forte amende (jusqu’à 750€).

Les photos de presse

BFMTV, CNEWS, Le Figaro, L’Humanité, Le Point, Le Nouvel Obs, La Croix, L’Express, France Inter, France Bleu, France 24, 20 minutes, Ouest France, La Depeche… je ne compte plus les médias français qui publient des QR Code de Pass Sanitaire. Les journalistes, les photographes ou les graphistes n’ont pas du être informé du risque de publier ce genre d’image. La spécificité du QR Code est qu’une photo du document suffit pour dupliquer le document. Ça peut être pratique quand on souhaite diffuser largement une information, mais pas pour un Pass Sanitaire qui est censé resté secret.

Le QR Code d’un Pass Sanitaire devrait avoir une durée de vie limitée et ainsi empêcher toute réutilisation frauduleuse. En Suisse, on peut générer un « certificat light » qui n’est valable que 48h et qui ne contient aucune information de santé. Au niveau de la conception, un système de Pass Sanitaire temporaire qui ne contient pas de données de santé respect davantage la vie privée et est plus sécurisé.

La conversion des 2D-Doc

Le problème de sécurité important que j’ai signalé à propos du Pass Sanitaire de Jean Castex est que c’était un ancien Pass au format 2D-Doc. En soit, un 2D-Doc ou un QR Code sont deux technologie très similaire. C’est deux images un peu différentes composée de carrés noirs permettant d’encoder du texte. Le problème ne vient pas du format en lui-même mais d’une brique logiciel dans le système du Pass Sanitaire qui se nomme le back-end de conversion. Comme décrit dans la documentation publique du système, ce service permet aux propriétaires d’ancien Pass 2D-Doc de les transformer en QR Code européens. Cependant, ce service ne vérifie pas que l’utilisateur·rice est bien le propriétaire du 2D-Doc. Ainsi, il peut avoir été créé des dizaines ou des centaines de QR Code valides à partir d’un 2D-Doc.

Dans le cas du 2D-Doc de Jean Castex, j’ai signalé le problème vendredi 17 au matin mais ce n’est que lundi 20 midi (après avoir renvoyer un courriel le lundi matin) que les autorités ont bloqué toute conversion de 2D-Doc de Jean Castex. On notera que toute conversion d’un 2D-Doc dont on n’est pas propriétaire est illégal et que je n’ai jamais réalisé l’opération moi-même.

Si les QR Code sont peu sécurisés, les 2D-Doc le sont encore moins à cause du back-end de conversion. Il ne faut plus utiliser les 2D-Doc pour ne pas que des personnes qui obtiennent votre Pass puissent les dupliquer. Il ne reste plus qu’à espérer que les autorités prennent conscience de l’étendu du problème…