Le QR Code qui permet d’accéder au pass sanitaire original d’Emmanuel Macron circule depuis le 20 septembre 2021 sur plusieurs réseaux sociaux, comme s’en sont fait l’écho plusieurs médias français dès le lendemain. En à peine quelques secondes, il est possible d’en trouver encore une capture d’écran en ligne, a pu vérifier Numerama. Europe 1 a également obtenu la confirmation qu’il s’agissait bien du pass du président français.
L’administration n’a pas tardé à réagir en mettant ce QR Code sur une sorte de « liste noire » virtuelle : désormais, si on scanne le code dans l’application TousAntiCovid, un message s’affiche : « Ce certificat semble être utilisé frauduleusement. Si ce certificat ne vous appartient pas, vous risquez une amende de 45 000 euros et 3 ans d’emprisonnement.»
Il reste toutefois techniquement utilisable, et on y voit la date de naissance du président, la date de sa dernière injection et avec quel type de vaccin (en l’occurrence, Pfizer).
Un avertissement similaire s’affiche si une personne effectue un scan du code avec TousAntiCovid-Verif, l’application qui permet de vérifier qu’une personne présente bien un pass sanitaire en règle (c’est-à-dire soit un certificat de vaccination, soit un test PCR négatif récent, soit un certificat de rétablissement) : « Attention : le pass sanitaire que vous venez de scanner a été signalé comme frauduleux ! » peut-on lire en rouge.
Cela signifie obligatoirement qu’une, ou des personnes, ont eu accès au QR Code qui mène au pass sanitaire d’Emmanuel Macron (en l’occurrence ici, un certificat de vaccination), et l’ont partagé alors qu’elles n’en avaient pas le droit. Comment savoir d’où a pu venir la fuite ?
Comment le pass sanitaire d’Emmanuel Macron a-t-il fuité ?
Les raisons d’une telle fuite auraient pu être multiples, surtout lorsque son propriétaire est une personnalité publique si connue. Il est même possible qu’il n’y ait pas eu qu’un seul point de fuite, mais plusieurs. C’est d’ailleurs ce qu’il semble s’être passé.
Au cours des 48 dernières heures planait un doute sur la manière dont ce QR Code avait pu fuiter, mais l’Assurance maladie a finalement mis les choses au clair auprès de l’Agence France Presse le 22 septembre. Elle a annoncé que les responsables (au pluriel) avaient « été identifiés ». « Les professionnels de santé ayant eu accès irrégulièrement [au QR code du chef de l’Etat], en infraction par rapport au code de déontologie qui s’impose à eux, ont été identifiés par la Caisse nationale d’assurance maladie (Cnam) dans la base Vaccin Covid », peut-on lire.
Cette hypothèse était l’une des plus probables. Depuis le début de la campagne de vaccination en France, certains membres du personnel soignant et paramédical (médecins, pharmaciens, etc.) ont accès à une base de données qui permet de consulter le statut de toutes les personnes vaccinées, en rentrant simplement leur numéro de sécurité sociale dans le moteur de recherche. Ils peuvent mettre la main sur « le QR Code, la date de vaccination, le médecin vaccinateur et le type de vaccin », nous a expliqué une personne ayant accès à ce fichier. C’est d’ailleurs de cette manière que certains ont pu aller regarder la date de vaccination d’Emmanuel Macron (qui présentait par ailleurs une erreur de saisie) à l’été 2021.
Cependant, il faut savoir que lorsqu’un professionnel agrégé consulte cette base de données, son passage virtuel est enregistré et consigné virtuellement. Il est donc possible de savoir qui a ouvert le fichier concernant le statut vaccinal d’Emmanuel Macron, et quand. C’est donc pour cette raison que l’Élysée a été en mesure de communiquer le fait qu’ils avaient supposément identifié les personnes responsables de la fuite, qui auraient agi « soit par négligence soit par malversation », selon le gouvernement.
Une question se pose toutefois : les autorités ont-elles réussi à cibler exactement les personnes ayant fait fuiter le pass sanitaire du président, ou ont-elles juste, pour l’instant, listé les professionnels qui auraient consulté sa « fiche » (sachant qu’il est possible que certains se soient autorisés à jeter un œil au fichier du président, par curiosité, sans pour autant le partager ensuite) ?
Dans sa dépêche, l’AFP parle toutefois bien « d’identification » de « soignants qui ont partagé sur les réseaux sociaux le QR code du pass sanitaire d’Emmanuel Macron », sans préciser comment ils auraient été identifiés.
Les QR Codes ne sont jamais 100 % sûrs
Une autre possibilité aurait pu être que le QR Code d’Emmanuel Macron soit enregistré par une personne mal intentionnée lors d’un scan à l’entrée d’un lieu où ils sont obligatoires. Normalement, les gérants d’établissements accueillant du public et leurs employés doivent utiliser l’application TousAntiCovid-Verif pour scanner les codes à l’entrée. L’app, malgré quelques limites, est plutôt bien faite : elle ne permet pas à la personne de faire une capture d’écran du QR Code, ni même des informations personnelles auxquelles il est rattaché.
En revanche, si quelqu’un utilise une autre application (non officielle) que TousAntiCovid-Verif pour scanner un code, il pourrait potentiellement prendre une capture d’écran du Code, ou même tout simplement le prendre en photo discrètement avant d’utiliser TousAntiCovid-Verif dans la foulée. Cette hypothèse avait été formulée par Éric Bothorel, député LREM interrogé par Checknews de Libération, qui estimait probable que la fuite vienne «d’une personne mal intentionnée qui aurait enregistré le pass sanitaire du Président au lieu de le scanner, en utilisant une autre application que TousAntiCovid Verif.»
Ce n’est visiblement pas ce qu’il s’est passé dans le cas d’Emmanuel Macron cette fois-ci, mais ce risque est bien réel et il convient de le garder en tête lorsque vous faites scanner votre pass sanitaire par une tierce personne.
Le pass sanitaire de Jean Castex avait fuité il y a quelques jours
Quelques jours plus tôt, c’est le pass sanitaire du Premier ministre qui avait été signalé comme potentiellement frauduleux. Les raisons de la fuite du QR Code (plus précisément, du 2D-DOC) de Jean Castex étaient plus facilement identifiables : le ministre avait montré son pass dans son smartphone au cours d’un déplacement le 13 septembre dans un Ehpad de Clamart, et un photographe avait immortalisé la scène.
Malheureusement, le code de Jean Castex n’avait pas été flouté avant que la photo ne soit utilisée par les médias, qui ont également manqué de l’anonymiser. Résultat : toute personne ayant accès à la photo originale pouvait zoomer et scanner le 2D-DOC dans l’application TousAntiCovid, et ainsi récupérer le QR Code du pass sanitaire du Premier ministre.
Morale de l’histoire : il ne faut partager sous aucun prétexte le QR Code d’un pass sanitaire sur les réseaux sociaux, ni ailleurs. Si vous avez un doute sur la sécurité de votre pass, vous pouvez générer un nouveau code depuis le 21 septembre 2021 en vous rendant sur le site Ameli.fr. En cliquant sur « mon attestation de vaccination », vous générez un PDF sur lequel le code est modifié à chaque fois.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !