S

Sur ce papier figurent deux QR Code que les pirates peuvent scanner pour subtiliser vos données personnelles et falsifier un pass sanitaire.

Au 15 mai, plus de neuf millions de Français ont reçu toutes leurs doses de vaccin. Une fierté pour certains, qui n'hésitent pas à diffuser des selfies sur les réseaux sociaux, certificat de vaccination à la main. Si l'initiative part d'un bon sentiment, elle n'est pas sans danger. Ces documents renferment en effet de nombreuses données personnelles qui pourraient être subtilisées.

Depuis le 3 mai, les Français se voient remettre un certificat de vaccination dès la première injection. Sur ce papier figurent le nom, le prénom, la date de naissance, la date de l'injection et le produit injecté. Deux autres éléments importants sont sur cette fiche. Le premier, à gauche du document, n'est pas un QR Code à proprement parler. Il s'agit d'un «datamatrix», un code 2D-DOC qui certifie l'authenticité de la preuve de vaccination.

Ce code peut être scanné simplement par la caméra d'un smartphone et révéler plusieurs informations sur le patient : dates de naissance et de vaccination ainsi que le produit injecté (Pfizer-BioNtech, Moderna, AstraZeneca ou Johnson&Johnson).

En plus de ce «datamatrix» se trouve un véritable QR Code, à droite du certificat. Celui-ci est destiné à être utilisé dans TousAntiCovid, afin de stocker son certificat de vaccination dans la section «Carnet» de l'application gouvernementale. Il permet, de son côté, d'accéder aux données personnelles de son propriétaire, même lorsqu'il est scanné par un tiers.

Usurper un pass sanitaire

Avec ces données, les pirates informatiques ont la possibilité d'usurper votre identité. Par exemple, un individu non testé et non vacciné pourrait pénétrer dans un lieu soumis à un contrôle en présentant vos QR Code. Si aucun contrôle d'identité n'est effectué, il circulera librement grâce à votre certificat.

Des tentatives d'arnaques par mail sont également possibles. Les pirates pourraient se faire passer pour l'Assurance maladie ou un hôpital en renseignant des informations précises sur votre vaccination pour vous mettre en confiance. Matthieu Audibert, officier de gendarmerie spécialisé dans la cybercriminalité, a alerté les internautes via l'un de ses tweets, publié le 13 mai.

Le certificat de vaccination sera utilisé comme Pass sanitaire dès le 9 juin prochain, afin d'accéder aux lieux de plus de 1 000 personnes, comme les festivals, les stades, les foires ou encore pour voyager en Europe. Afin de ne pas révéler le statut vaccinal des Français, les opérateurs qui réaliseront les contrôles ne verront qu'un carré rouge ou vert, qui signifiera que la personne a «fait état d'un test négatif récent, d'une preuve de rétablissement ou d'un certificat de vaccination», précise le gouvernement.