BFM Business

Pourquoi il ne faut surtout pas partager son QR Code de vaccination sur Internet

L'application TousAntiCovid sur un téléphone, le 28 octobre 2020 et qui pourrait atteindre 15 millions de téléchargements d'ici un mois

L'application TousAntiCovid sur un téléphone, le 28 octobre 2020 et qui pourrait atteindre 15 millions de téléchargements d'ici un mois - LIONEL BONAVENTURE © 2019 AFP

Certains internautes publient leur certificat de vaccination sur les réseaux sociaux, mettant en évidence les QR Code qui y sont imprimés ou leur version numérique. Une pratique fortement déconseillée.

La volonté de partager sa satisfaction après avoir été vacciné peut parfois se faire au détriment de la protection des données personnelles. Depuis le 3 mai, les certificats de vaccination disposent de deux QR Codes: un premier sur la partie gauche du document qui a vocation à être utilisé en tant que pass sanitaire; un second sur la partie droite, destiné à être scanné dans TousAntiCovid afin de générer la copie numérique du premier.

Depuis quelques jours, nombreux sont ceux qui partagent sur les réseaux sociaux une photo du document, ou une capture d’écran du QR Code de TousAntiCovid. Cette pratique est fortement déconseillée, comme le rappelle ce 13 mai Matthieu Audibert, officier de gendarmerie spécialisé dans la cybercriminalité.

Nom, date de naissance, type de vaccin

Le QR Code de gauche, correspondant au certificat de vaccination, est donc identique au QR Code qui apparaît sur TousAntiCovid après avoir scanné le QR Code de droite dans l’application mobile. En version papier comme en version numérique, c’est ce QR Code qui sera scanné à l’entrée des événements - salons, foires, stades etc. - concernés par le pass sanitaire.

Afin de ne pas révéler le statut vaccinal des Français, l’application prévue par le gouvernement pour les opérateurs réalisant les contrôles à l’entrée de ces événements n’affichera qu’un carré vert ou rouge, pour accorder l’accès ou non, sans révéler si le visiteur a été vacciné ou testé négativement au Covid-19.

Mais il est également possible de scanner ce QR Code avec n’importe quelle application dédiée, qui révèle alors certaines informations sensibles comme le nom, le prénom, la date de naissance, mais aussi la date de vaccination et le nom du vaccin administré. Autant d’informations qui seront accessibles à tous en cas de partage du QR Code sur les réseaux sociaux.

Les QR Codes de l'attestation de vaccination contre le Covid-19.
Les QR Codes de l'attestation de vaccination contre le Covid-19. © BFMTV

Risque d’arnaque ou de falsification

De la même manière, il est fortement déconseillé de partager le QR Code de droite, destiné à importer son certificat de vaccination dans TousAntiCovid. Une personne malintentionnée pourrait alors utiliser l’application de traçage du gouvernement pour importer le QR Code d’un autre, tout en prenant connaissance de ses données personnelles, qui s’affichent directement sous le QR Code en question.

Jean Michel Mis, député LaREM de la Loire, a par exemple pris le soin de partager un QR Code modifié pour éviter qu’il puisse être exploité de façon malveillante - tout en choisissant d’afficher les données inscrites sous son QR Code dans TousAntiCovid.

Pour l’internaute partageant son QR Code, le principal risque pourrait être de subir des tentatives d’arnaque par mail, par exemple avec des messages évoquant sa vaccination avec les précisions évoquées plus haut pour le mettre en confiance.

Au niveau collectif, le risque est de voir un tiers tenter d’utiliser ce QR Code en tant que pass sanitaire pour accéder à un événement, à condition de déjouer un éventuel contrôle d’identité: son authentification est en effet assurée par le système "2D-Doc" chargé de verrouiller les données, à commencer par le nom, le prénom et la date de naissance du détenteur légitime du certificat de vaccination.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech