Il ne faut pas laisser traîner son QR Code vaccinal sur les réseaux rappelaient les forces de l’ordre via leurs réseaux sociaux il y a quelques semaines. Plus facile à dire qu’à faire, surtout quand on est Premier ministre : suite à une série de photo diffusée par une agence de presse en début de semaine dernière, des internautes sont parvenus à reconstituer le code-barre 2D Doc présent sur le passe sanitaire du Premier ministre.
Risques mesurés
Selon Liberation, la photo à l’origine de l’affaire aurait été prise le 13 septembre à l’occasion d’un déplacement presse du Premier ministre pour la promotion de la troisième dose de vaccin pour les publics fragiles. Selon le Parisien, une photo réalisée à cette occasion permettait de voir le code-barre du passeport vaccinal de Jean Castex. Cette photo est restée en ligne un peu moins de 48h, mais cela a suffi à plusieurs internautes pour reconstituer le code-barre, et pour interpeller Matignon à ce sujet. Un sujet que les autorités semblent prendre au sérieux : l’un des chercheurs ayant récupéré la photo pour en extraire le code-barre a notamment expliqué avoir été contacté par le CERT-FR concernant cette potentielle fuite de données. Depuis, la photo a été retirée par l’agence de presse à l’origine de la diffusion.
La diffusion de d’un QR code (ou code-barre 2D Doc pour être précis) pose plusieurs problèmes : d’une part, il permet de récupérer les informations concernant la vaccination du 1er ministre, tel que la date de sa dernière injection ou encore le type de vaccin utilisé. D’autre part, il permet à un tiers d’utiliser le code-barre pour accéder à un lieu demandant la vérification du passe sanitaire. Ce sont les risques liés à toute exposition publique du code-barre fourni avec le passe sanitaire, indépendamment du fait d’être le Premier ministre. Simplement cela fait toujours mauvais genre quand on est à la tête du gouvernement.
Traîtresses photos de presse
L’incident n’est pas sans rappeler plusieurs affaires préalables où des photos diffusées dans la presse dévoilaient des mots de passe et informations d’authentifications sensibles. On se souvient par exemple des mots de passe de TV5Monde exposés par des images de journalistes en plein milieu de l’attaque au rançongiciel ayant bloqué la diffusion de la chaîne. En Allemagne, les membres du Chaos Computer Club étaient également parvenus à reconstituer les empreintes digitales de la ministre de la Défense allemande en se basant sur des photos diffusées dans la presse. L’objectif de la manoeuvre : prouver les faiblesses inhérentes à l’authentification biométrique présentée à l’époque comme une solution plus sécurisée que le mot de passe. Comme dans le cas du passe sanitaire, le problème est que ces informations ne peuvent être révoquées et remplacées à la manière d’un mot de passe. Pour s’épargner les problèmes, il vaut donc mieux éviter de trop les exposer.
Le « QR Code » proposé sur le passe sanitaire dispose de protections permettant de s’assurer de l’authenticité des informations indiquées sur le dispositif. Baptisé 2D Doc, le dispositif est une variante du QR Code classique inventé en 1994, et dispose d’un dispositif de signature numérique qui permet de vérifier l’intégrité des données. Il est donc théoriquement impossible pour un tiers ayant mis la main sur le passe sanitaire de Jean Castex de modifier les informations contenues dans le code-barre pour faire croire par exemple que le Premier ministre n’a pas été vacciné, ou qu’il a été vacciné avec un autre vaccin. Il est en revanche tout à fait possible de présenter le code-barre du Premier ministre à la terrasse d’un bar pour commander un verre, mais la supercherie ne tiendra pas si le serveur demande à contrôler la pièce d’identité de la personne, ou s’il s’aperçoit tout simplement que le quidam en question ne ressemble pas vraiment à Jean Castex.
