Pass sanitaire: un même QR Code peut-il être utilisé sur plusieurs smartphones?

La pandémie de Covid-19 en FrancedossierCovid-19 : les restos de Deauville et Trouville passent au pass sanitaire dès ce dimancheConfrontée à une poussée impressionnante de l’épidémie, une partie du Calvados va tester – volontairement – le pass sanitaire pour les bars et restaurants, avec une semaine d’avance sur la date d’entrée en vigueur de la mesure.En quelques clics, «CheckNews» a pu intégrer les QR Code de personnes vaccinées, sans qu’elles ne s’en rendent compte. Sans contrôle d’identité systématique ou d’avertissement d’usurpation, la fraude est un jeu d’enfant.

Bonjour,

Votre question fait référence à une technique de fraude potentielle, qui permettrait d’utiliser le QR Code d’une personne complètement vaccinée sur plusieurs appareils, dont ceux de personnes non vaccinées.

Rappelons tout d’abord que les mentions figurant sur le certificat de vaccination stipulent que «ce document est personnel et non transférable». Et avertissent des risques encourus en cas de non-respect de cette règle : «La loi rend passible d’amende et /ou d’emprisonnement quiconque se rend coupable de fraudes ou de fausses déclarations (articles 441-1 du code pénal). En outre, la falsification ou l’établissement de faux documents, ainsi que l’utilisation de tels documents sont passibles d’une pénalité financière aux titres des articles L. 162

1-14 du code de la Sécurité sociale.» Le code pénal prévoit ainsi trois ans d’emprisonnement et 45 000 euros d’amende pour faux et usage de faux.

Une fraude à portée de main

D’un point de vue technique, cependant, l’application TousAntiCovid permet aisément l’usurpation du QR Code d’une personne déjà vaccinée. Il suffit pour cela de scanner son QR Code, soit depuis le certificat, mais aussi depuis une photo ou une capture d’écran d’un code. Sans aucune difficulté, CheckNews a pu trouver plusieurs QR Code en ligne, de citoyens français mais également européens, et a pu tous les intégrer dans l’application TousAntiCovid. Avant bien sûr de tous les supprimer. Aucun avertissement n’est alors apparu sur l’application d’une personne dont le QR Code a été usurpé.

Tous ces codes se retrouvent ainsi archivés dans le «carnet» prévu par l’application. Ils indiquent le nom, prénom, date de naissance et date de vaccination, ainsi que le type de vaccin utilisé. La fraude apparaît peu risquée

puisque l’application TousAntiCovid garantit qu’elle «ne nécessite pas de renseigner [nos] informations personnelles pour être installées et fonctionner».

Même Netflix empêche le partage de compte

Alors que le Premier ministre, Jean Castex, a indiqué que «tous les établissements recevant du public seront responsables du contrôle du passe», mais qu’«en revanche, tout ce qui est vérification des pièces d’identité n’est pas de leur responsabilité, mais de celle des forces de sécurité», une fraude simple consisterait donc, pour une personne non vaccinée et réticente aux dépistages réguliers, à intégrer le QR Code d’un vacciné du même sexe et d’un âge proche. Tant que son identité n’est pas contrôlée par un policier, il pourra jouir des mêmes avantages que les détenteurs en règle du pass sanitaire.

Le ministre de la Santé, Olivier Véran, n’a d’ailleurs pas manqué de soulever cette contradiction, jeudi matin, à l’Assemblée nationale, en faisant le parallèle avec les applications de streaming : «Un pass où il n’y a pas un contrôle systématique, c’est un abonnement Netflix familial. C’est indispensable d’avoir du contrôle. Sinon, c’est comme les codes Canal, tout le monde va se les passer.»

En effet, contrairement à un compte Netflix, cette fois-ci personnel, où deux personnes ne peuvent pas utiliser la même session au même moment, ou à un billet de train, qui ne peut être scanné qu’une fois avant l’embarquement, il est tout à fait possible d’utiliser le même QR Code d’une personne vaccinée à deux endroits différents. A l’aide de l’application «TousAntiCovid Vérif» destinée aux professionnels, CheckNews a scanné le même code à quelques minutes d’intervalles depuis deux lieux distincts. Aucun avertissement de doublons ne s’est affiché.Jointe par CheckNews, la direction générale de la santé indique que la fonction «carnet» de TousAntiCovid est «prévue pour faciliter l’usage des certificats de tests et de vaccination pour soi et ses proches». Et rappelle que «les certificats de tests et de vaccination sont générés de manière sécurisée dans SI-DEP et Vaccin Covid, et sont stockés uniquement en local, sur le téléphone de l’utilisateur, dans l’application TousAntiCovid, de manière chiffrée». Cette sécurisation a pour effet que lors d’un contrôle, l’autorité compétente ne peut que lire les informations du QR Code mais ne peut pas les stocker. Ce système empêche donc de géolocaliser ou d’enregistrer l’heure à laquelle un contrôle a été effectué.

Le fait de pouvoir obtenir un QR Code sur plusieurs téléphones a été pensé, notamment, pour les personnes possédant plusieurs téléphones. Mais du coup, cet aspect pratique permet à quiconque de s’attribuer un QR Code de vaccination, sans qu’aucune vérification d’identité ne soit effectuée, et sans limitation du nombre d’ajouts de codes sur son téléphone portable. La DGS reconnaît d’ailleurs qu’«il n’est pas possible de détecter automatiquement l’utilisation inhabituelle d’un QR Code».

Le seul moyen de lutter contre les abus consiste à les détecter sur le terrain, puisque la DGS indique que lorsqu’«un QR Code a été identifié comme corrompu par une autorité, il nous est possible de le placer sur une «liste noire» via l’identifiant du certificat, dans TousAntiCovid Verif pour qu’il soit refusé à la lecture». En cas d’abus, l’autorité sanitaire indique que les risques encourus doivent encore être précisés par le projet de loi relatif à la gestion de la crise sanitaire, qui est en cours de discussion au Parlement, et renvoie pour l’instant vers les condamnations prévues pour usage de faux.

Publié par supportconseil.com

evolu en m instruisant

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :