Pourquoi il ne faut surtout pas partager son QR Code de vaccination sur Internet

La volonté de partager sa satisfaction après avoir été vacciné peut parfois se faire au détriment de la protection des données personnelles. Depuis le 3 mai, les certificats de vaccination disposent de deux QR Codes: un premier sur la partie gauche du document qui a vocation à être utilisé en tant que pass sanitaire; un second sur la partie droite, destiné à être scanné dans TousAntiCovid afin de générer la copie numérique du premier.

Depuis quelques jours, nombreux sont ceux qui partagent sur les réseaux sociaux une photo du document, ou une capture d’écran du QR Code de TousAntiCovid. Cette pratique est fortement déconseillée, comme le rappelle ce 13 mai Matthieu Audibert, officier de gendarmerie spécialisé dans la cybercriminalité.

Nom, date de naissance, type de vaccin

Le QR Code de gauche, correspondant au certificat de vaccination, est donc identique au QR Code qui apparaît sur TousAntiCovid après avoir scanné le QR Code de droite dans l’application mobile. En version papier comme en version numérique, c’est ce QR Code qui sera scanné à l’entrée des événements - salons, foires, stades etc. - concernés par le pass sanitaire.

Afin de ne pas révéler le statut vaccinal des Français, l’application prévue par le gouvernement pour les opérateurs réalisant les contrôles à l’entrée de ces événements n’affichera qu’un carré vert ou rouge, pour accorder l’accès ou non, sans révéler si le visiteur a été vacciné ou testé négativement au Covid-19.

Mais il est également possible de scanner ce QR Code avec n’importe quelle application dédiée, qui révèle alors certaines informations sensibles comme le nom, le prénom, la date de naissance, mais aussi la date de vaccination et le nom du vaccin administré. Autant d’informations qui seront accessibles à tous en cas de partage du QR Code sur les réseaux sociaux.

Risque d’arnaque ou de falsification

De la même manière, il est fortement déconseillé de partager le QR Code de droite, destiné à importer son certificat de vaccination dans TousAntiCovid. Une personne malintentionnée pourrait alors utiliser l’application de traçage du gouvernement pour importer le QR Code d’un autre, tout en prenant connaissance de ses données personnelles, qui s’affichent directement sous le QR Code en question.

Jean Michel Mis, député LaREM de la Loire, a par exemple pris le soin de partager un QR Code modifié pour éviter qu’il puisse être exploité de façon malveillante - tout en choisissant d’afficher les données inscrites sous son QR Code dans TousAntiCovid.

Pour l’internaute partageant son QR Code, le principal risque pourrait être de subir des tentatives d’arnaque par mail, par exemple avec des messages évoquant sa vaccination avec les précisions évoquées plus haut pour le mettre en confiance.

Au niveau collectif, le risque est de voir un tiers tenter d’utiliser ce QR Code en tant que pass sanitaire pour accéder à un événement, à condition de déjouer un éventuel contrôle d’identité: son authentification est en effet assurée par le système "2D-Doc" chargé de verrouiller les données, à commencer par le nom, le prénom et la date de naissance du détenteur légitime du certificat de vaccination.