QR Code vaccinal, à ne pas laisser traîner sur les réseaux sociaux

Technologie : Le QR Code est l’outil choisi par le gouvernement pour faire office de certificat numérique de vaccination. Mais la nature de ce support numérique, facile à lire et à imiter, l’expose à de potentielles fraudes.

Si personne ne vous en voudra d’avoir partagé un selfie de votre vaccination, partager une photo du QR Code faisant office de certificat de vaccination est en revanche plus hasardeux. Intégré au sein de l’application TousAntiCovid via la fonctionnalité Carnet, le QR Code permet de justifier que l’on a bien reçu une dose de vaccin contre le Covid 19 ou que l’on dispose d’un test PCR négatif récent enregistré dans son téléphone.

Depuis le 3 mai, les certificats vaccinaux comportent deux code à cette fin, un code Datamatrix et un QR Code, qui permettent de justifier le vaccin et d’importer une copie numérique du certificat au sein de l’application TousAntiCovid. Le Datamatrix et le QRCode sont deux variantes de code barre en deux dimensions utilisés pour coder et transmettre de l’information au moyen d’un visuel.

Cette version digitalisée du certificat de vaccination n’est néanmoins pas à toute épreuve et les utilisateurs feraient mieux de le garder dans leur application. Comme le rapporte le Berry Republicain, les gendarmes rappellent ainsi que le partage de ces codes peut ouvrir la voie à des acteurs malveillants : en lisant les informations stockées dans le QRCode à l’aide d’un scanner, des tiers peuvent ainsi récupérer des données personnelles concernant la personne vaccinée et son état de vaccination. Le partage pose également la question d’une éventuelle usurpation d’identité via la modification du QR Code, afin de modifier les données d’identification de la personne contenues dans le QRCode.

Risque théorique, mais risque quand même

Sur ce dernier sujet, une protection a néanmoins été envisagée: la solution 2D-Doc, mise en œuvre par l’Agence nationale des titres sécurisés. Cette solution prend la forme d’un code-barre 2D signé électroniquement par une paire de clés privée/publique, qui permet de vérifier l’intégrité des données contenues dans le code en question. 2D-Doc est integré dans le Datamatrix du certificat de vaccination. Pour parvenir à détourner un code et modifier les données d’identification, il faudrait donc trouver un moyen de contourner ce système de protection.

Lire la suite sur ZDNet

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.