Question posée le 9 août 2021 par Karine.

Lutter contre la fraude au pass sanitaire ? Sans en faire une priorité, les autorités s’y attellent. «Le fait de présenter un pass sanitaire appartenant à autrui ou de proposer à un tiers l’utilisation frauduleuse d’un tel document est sanctionné», énonce la dépêche envoyée le 9 août à tous les parquets de France par le ministère de la Justice. Elle liste les sanctions : contravention de 4e classe à la première violation (135 euros d’amende forfaitaire), contravention de 5e classe à la deuxième violation dans les quinze jours (200 euros d’amende forfaitaire), et enfin jusqu’à six mois d’emprisonnement et 3 750 euros d’amende en cas de troisième violation dans les trente jours.

La dépêche ministérielle, consultée par CheckNews, invite les parquetiers à faire preuve d’une plus grande fermeté à l’endroit de ceux qui proposeraient «à un tiers, de manière onéreuse ou non, y compris par des moyens de communication au public en ligne, l’utilisation frauduleuse d’un tel document». Ce qui pourrait tomber sous le coup d’une «infraction d’escroquerie, possiblement en bande organisée, de faux, usage et détention de faux administratifs», énumère la dépêche.

Réagissant à la publication de cette échelle des peines dans la presse, le secrétaire d’Etat chargé de la Transition numérique et des Communications électroniques, Cedric O, a ajouté dans un tweet : «Les pass abusivement utilisés seront placés sur liste noire et rendus inutilisables.» Il y a trois semaines, la Direction générale de la santé nous assurait déjà qu’un «un QR Code [qui] a été identifié comme corrompu par une autorité, il nous est possible de le placer sur une “liste noire” via l’identifiant du certificat, dans TousAntiCovid Verif pour qu’il soit refusé à la lecture.»

Vous nous interrogez sur ce système, dont la mise en place est passée relativement inaperçue, et nous demandez s’il implique «un stockage des informations» concernant les pass sanitaire.

Au début du mois de juin, le déploiement de l’application TousAntiCovid Vérif (TAC Verif) qu’utilisent les professionnels pour scanner les pass sanitaires avait suscité la polémique. Des internautes, comme @gilbsgilbs (pseudo Twitter) avaient notamment remarqué que l’application envoyait des informations contenues dans les codes scannés à un serveur d’IN Groupe («Groupe imprimerie nationale», qui a développé TAC Verif). Alors qu’officiellement, cette application était censée fonctionner en «local». Dans un avis du 8 juin, la Commission nationale de l’informatique et des libertés (Cnil) avait d’ailleurs enjoint le gouvernement «à faire évoluer le fonctionnement de l’application afin de permettre un contrôle local des données des justificatifs». Peu de temps après, une mise à jour de l’application TAC Verif réglait le problème.

La mise en place d’une liste noire relance cette question. Concrètement : comment une application n’opérant pas de remontées d’informations vers un serveur central serait susceptible de reconnaître des codes frauduleux ? Une solution, déjà en place pour TousAntiCovid (voir plus loin), serait de mettre en place une liste noire de codes, que TAC Verif téléchargerait régulièrement. Si un de ces codes venait à être présenté lors d’un contrôle, l’application l’identifierait comme inscrit sur liste noire, et le signalerait à la personne chargée du contrôle.

Contacté par CheckNews, le cabinet du secrétaire d’Etat explique qu’une telle mesure est à l’étude, et fait l’objet de discussions impliquant notamment la Cnil (qui n’a pour l’heure pas répondu à nos sollicitations). Les autorités aimeraient d’abord appréhender l’ampleur de la fraude, et promettent ensuite de faire la balance entre la nécessité (et éventuellement l’efficacité) de mesures de contrôle, et le respect de la vie privée.

Rien de fixé du côté de TAC Vérif, donc. En revanche, une liste noire a bien vu le jour du côté de TousAntiCovid, l’application sur laquelle les particuliers peuvent enregistrer le QR code figurant sur un certificat de vaccination, par exemple.

Ainsi, comme nous l’explique @gilbsgilbs, les mises à jour vers les versions 3.6 puis 3.7 de l’application TousAntiCovid mentionnent explicitement la mise en place de «black list» («liste noire» en anglais), respectivement pour certains DCC (certificats Covid numériques de l’UE), et 2D-DOC (le format utilisé par les autorités françaises pour les codes des pass sanitaires, avant l’uniformisation européenne).

Au moment de l’écriture de ces lignes, ces listes noires sont accessibles (2D-DOC et DCC). On y trouve en tout (sous forme «hashée») une dizaine de QR codes jugés frauduleux par les autorités.

Concrètement : si l’on dispose de la dernière version de l’application Tous Anti Covid, et que l’on essaye de scanner un des QR codes litigieux pour l’enregistrer dans son carnet numérique, un message d’erreur apparaît. @gilbsgilbs nous en a communiqué une capture d’écran (et nous avons pu reproduire l’expérience nous-mêmes). On y lit «ce certificat semble être utilisé frauduleusement. Si ce certificat ne vous appartient pas, vous risquez une amende de 45 000 euros et trois ans d’emprisonnement» (peine encourue pour faux usage de faux). Toutefois, «on peut quand même forcer l’import d’un QR Code blacklisté dans TAC, c’est juste un avertissement», précise @gilbsgilbs.

«Je pense que c’est une façon raisonnable de mettre en place la révocation», estime @gilbsgilbs au sujet de ce système. Toutefois, il prévient : «Ce système ne permettra pas de révoquer le certificat “emprunté” à sa cousine, mais seulement ceux qui circulent publiquement sur Internet ou les vrais faux qui ont été décelés à la suite de trafic de QR codes.»

D’ailleurs, comment cette liste noire d’une dizaine de QR codes a-t-elle été constituée ? Contacté sur ce point précis, le cabinet de Cédric O n’a pas répondu. Il semble toutefois qu’on y trouve des codes qui avaient été présentés comme exemples par les autorités dans les documents de communication sur le pass sanitaire. Comme ce QR code appartenant à un fictif sexagénaire prénommé «Jean-Pierre» : impossible de le charger dans la dernière version de l’application TousAntiCovid (c’est dans ce cas que l’on reçoit le message d’avertissement ci-dessus). Ironie de la situation : ce même QR code renvoie un résultat «valide» (vert) quand on le passe dans TAC Vérif. Preuve que la liste noire évoquée plus haut empêche les particuliers de télécharger dans leur appli un QR code supposément frauduleux. Mais qu’en l’état, cette liste ne permet pas aux professionnels recourant à TAC Verif de savoir quand ils ont face à eux un tel code.

Mise à jour à 16h40 le 12 août : Ajout du passage «Une solution [...] la personne chargée du contrôle». Contrairement à ce que pouvait laisser penser notre première formulation, il est bien possible pour une application fonctionnant en local de recourir à une liste noire.