Déconfinement : Le QR Code, outil infaillible ou technologie risquée ?

PASS SANITAIRE Créé au milieu des années 1990 au Japon, le QR code connaît son heure de gloire en cette période de déconfinement

Hélène Sergent

— 

Les QR code peuvent servir de preuves de non-contamination dans le cadre du pass sanitaire.
Les QR code peuvent servir de preuves de non-contamination dans le cadre du pass sanitaire. — PASCAL POCHARD-CASABIANCA / AFP
  • Le QR code – pour « Quick Response Code » – est un code-barres en deux dimensions passé au premier plan en France dans le cadre du déconfinement.
  • Deux usages distincts ont été développés. Ils peuvent être scannés à l’entrée de certains lieux par un smartphone pour aider les autorités sanitaires à retracer les chaînes de contaminations, et ils peuvent être utilisés comme document de contrôle pour accéder à certains événements ou se déplacer dans le cadre du fameux « pass sanitaire ».
  • Si la technologie est présentée comme infalsifiable, selon les concepteurs de l’application de contrôle, des risques existent. On fait le point sur les bonnes pratiques à observer.

On les voit fleurir sur les devantures des bars et restaurants depuis plusieurs semaines. Les QR code – pour « Quick Response Code », « code à réponse rapide », en anglais – connaissent leur moment de gloire en cette période de déconfinement. En France, depuis le 9 juin dernier, deux usages majeurs reposent ces codes-barres numériques.

Ils peuvent soit être scannés à l’entrée de certains lieux par un smartphone pour aider les autorités sanitaires à retracer les chaînes de contaminations, soit être utilisés comme document de contrôle pour accéder à des événements ou se déplacer dans le cadre du fameux « pass sanitaire ». Mais en quoi consiste exactement cette technologie et quels sont les risques ?

  • Comment utiliser un QR code ?

Né en 1994 au Japon, le QR code se présente sous la forme d’un code-barres en deux dimensions, constitué de carrés noirs sur fond blanc, qui se décrypte après avoir été flashé ou scanné avec l’appareil photo d’un smartphone. Dans cette nouvelle phase de déconfinement, les Français peuvent désormais obtenir une preuve de non-contamination avec un QR code : il peut s’agir d’un résultat négatif à un test PCR ou d’un certificat de vaccination. Ces QR codes apparaissent sur le certificat papier fourni par le laboratoire ou le centre de vaccination et peuvent être stockés directement sur le téléphone. Cette fonctionnalité est disponible sur l’application mobile gouvernementale TousAntiCovid.

Un onglet intitulé « mon carnet » propose à l’utilisateur de scanner le QR code figurant sur ces certificats. En cas de contrôle pour assister à un événement de plus de 1.000 personnes ou pour se déplacer à l’étranger, en Corse ou en outre-mer, il suffit ensuite de présenter ce code-barres. « En réalité, deux codes sont utilisés dans le pass sanitaire », précise Bastien Le Querrec, juriste au sein de l’association de défense des libertés numériques, la Quadrature du Net (QDN). « Un QR code pour importer son document dans l’appli TousAntiCovid, et un autre code, intitulé "2D-Doc" ou encore "Cachet électronique visible (CEV)", qui a pour objectif de s’assurer de la validité de ce document en cas de contrôle », explique-t-il.

  • Quelles données figurent dans ces QR codes ?

Dans un avis rendu le 7 juin dernier, la Cnil (Commission nationale de l’informatique et des libertés) indique : « Conformément au principe de minimisation des données, les personnes habilitées à contrôler les justificatifs à l’aide de l’application TousAntiCovid […] n’auront accès qu’aux seuls noms, prénoms et date de naissance de la personne concernée, ainsi qu’au résultat positif ou négatif de détention d’un justificatif conforme. »

Pour La Quadrature du Net, ces données d’identification sont jugées superflues et dangereuses. « Selon nous, cela revient à banaliser et à systématiser le contrôle d’identité. Pour savoir si une personne entre dans les critères sanitaires fixés par la loi, on n’a pas besoin de vérifier son état civil ! Il suffit de savoir si les certificats présentés sont valables ou pas », souligne Bastien Le Querrec. Pour contester cette modalité, La Quadrature du Net a déposé un recours, le 11 juin dernier devant le Conseil d’Etat.

  • Quels sont les risques ?

Dans son avis du 7 juin, la Cnil, gardienne de la vie privée des Français, rappelle que lors des contrôles effectués par les autorités habilitées, « il est possible, pour une personne mal intentionnée, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé ». Or, à l’ère du Covid-19, ces données de santé peuvent se monnayer très cher, rappelle Bastien Le Querrec. « Les "data brokers", des entreprises spécialisées dans l’achat et la vente de nos données personnelles, sont très intéressées par les données de santé », explique-t-il.

Si la possibilité de falsifier un QR code est faible, le risque de fuites de données existe, pointe le juriste : «  On a réussi à développer en quelques jours une application qui permet d’extraire, de lire et d’exporter les données comprises dans ces codes en deux dimensions. » Un développement qui nécessite des connaissances techniques, mais invite les utilisateurs de l'application à la prudence au moment de présenter leur code.

Enfin, certaines mauvaises habitudes numériques peuvent aussi exposer les internautes à des usages malveillants, note Matthieu Audibert, capitaine de gendarmerie au sein du pôle national de lutte contre les cybermenaces : « Depuis que la vaccination s’est développée, on voit des internautes partager des photos sur les réseaux sociaux avec, parfois, leur certificat de vaccination. En faisant ça, ils exposent leurs données personnelles. » Une pratique qui peut avoir pour conséquence des fraudes à l’identité ou des collectes illégales de données.

  • Comment s’en prémunir ?

Sur les réseaux sociaux, les forces de l’ordre tentent de sensibiliser les internautes sur les risques encourus à publier des données personnelles. « L’idée ne viendrait à personne de publier sur Instagram ou Twitter une photo de sa carte bleue ou de sa carte d’identité. Il faut que ce soit la même chose vis-à-vis de ces QR codes », illustre Matthieu Audibert. La Cnil, de son côté, a invité le gouvernement à « mettre en place des mesures d’informations afin de sensibiliser le public sur la nécessité de protéger leurs justificatifs et de ne pas les exposer en dehors des contrôles prévus par le pass sanitaire ».

La Quadrature, elle, plaide pour un changement radical de technologie : « Des solutions autres que les QR codes existent pour lutter contre la fraude aux documents. Ce sont des mesures physiques, déjà développées par l’Imprimerie nationale pour les permis de conduire ou les certificats d’immatriculation des véhicules. La question qui se pose, désormais, c’est : "Jusqu’où est-on prêt à aller en matière de protection de la vie privée pour lutter contre cette fraude ?" »