QR Code vaccinal, à ne pas laisser traîner sur les réseaux sociaux

Spread the love
QR Code vaccinal, à ne pas laisser traîner sur les réseaux sociaux

Si personne ne vous en voudra d’avoir partagé un selfie de votre vaccination, partager une photo du QR Code faisant office de certificat de vaccination est en revanche plus hasardeux. Intégré au sein de l’application TousAntiCovid via la fonctionnalité Carnet, le QR Code permet de justifier que l’on a bien reçu une dose de vaccin contre le Covid 19 ou que l’on dispose d’un test PCR négatif récent enregistré dans son téléphone.

Depuis le 3 mai, les certificats vaccinaux comportent deux code à cette fin, un code Datamatrix et un QR Code, qui permettent de justifier le vaccin et d’importer une copie numérique du certificat au sein de l’application TousAntiCovid. Le Datamatrix et le QRCode sont deux variantes de code barre en deux dimensions utilisés pour coder et transmettre de l’informationau moyen d’un visuel.

Cette version digitalisée du certificat de vaccination n’est néanmoins pas à toute épreuve et les utilisateurs feraient mieux de le garder dans leur application. Comme le rapporte le Berry Republicain, les gendarmes rappellent ainsi que le partage de ces codes peut ouvrir la voie à des acteurs malveillants : en lisant les informations stockées dans le QRCode à l’aide d’un scanner, des tiers peuvent ainsi récupérer des données personnelles concernant la personne vaccinée et son état de vaccination. Le partage pose également la question d’une éventuelle usurpation d’identité via la modification du QR Code, afin de modifier les données d’identification de la personne contenues dans le QRCode.

publicité

Risque théorique, mais risque quand même

Sur ce dernier sujet, une protection a néanmoins été envisagée: la solution 2D-Doc, mise en œuvre par l’Agence nationale des titres sécurisés. Cette solution prend la forme d’un code-barre 2D signé électroniquement par une paire de clés privée/publique, qui permet de vérifier l’intégrité des données contenues dans le code en question. 2D-Doc est integré dans le Datamatrix du certificat de vaccination. Pour parvenir à détourner un code et modifier les données d’identification, il faudrait donc trouver un moyen de contourner ce système de protection.

Outre ces risques directement liés au détournement du QRCode, la récupération de données personnelles et de données liées à la vaccination peut permettre de faciliter les tentatives d’escroqueries qui visent à imiter une entité gouvernementale ou un établissement de santé.
Pour l’instant, il s’agit essentiellement de recommandations prudentes : la gendarmerie du Cher indiquait ainsi n’avoir été saisie d’aucune plainte relative à des détournements de QR code à des fins malveillantes. Mais pour s’éviter de mauvaises surprises, mieux vaut donc éviter d’afficher les QR code de son certificat sur le web.

Leave a Reply