Bonjour,

Votre question fait référence à une technique de fraude potentielle, qui permettrait d’utiliser le QR Code d’une personne complètement vaccinée sur plusieurs appareils, dont ceux de personnes non vaccinées.

Rappelons tout d’abord que les mentions figurant sur le certificat de vaccination stipulent que «ce document est personnel et non transférable». Et avertissent des risques encourus en cas de non-respect de cette règle : «La loi rend passible d’amende et /ou d’emprisonnement quiconque se rend coupable de fraudes ou de fausses déclarations (articles 441-1 du code pénal). En outre, la falsification ou l’établissement de faux documents, ainsi que l’utilisation de tels documents sont passibles d’une pénalité financière aux titres des articles L. 162-1-14 du code de la Sécurité sociale.» Le code pénal prévoit ainsi trois ans d’emprisonnement et 45 000 euros d’amende pour faux et usage de faux.

D’un point de vue technique, cependant, l’application TousAntiCovid permet aisément l’usurpation du QR Code d’une personne déjà vaccinée. Il suffit pour cela de scanner son QR Code, soit depuis le certificat, mais aussi depuis une photo ou une capture d’écran d’un code. Sans aucune difficulté, CheckNews a pu trouver plusieurs QR Code en ligne, de citoyens français mais également européens, et a pu tous les intégrer dans l’application TousAntiCovid. Avant bien sûr de tous les supprimer. Aucun avertissement n’est alors apparu sur l’application d’une personne dont le QR Code a été usurpé.

Tous ces codes se retrouvent ainsi archivés dans le «carnet» prévu par l’application. Ils indiquent le nom, prénom, date de naissance et date de vaccination, ainsi que le type de vaccin utilisé. La fraude apparaît peu risquée puisque l’application TousAntiCovid garantit qu’elle «ne nécessite pas de renseigner [nos] informations personnelles pour être installées et fonctionner».

Alors que le Premier ministre, Jean Castex, a indiqué que «tous les établissements recevant du public seront responsables du contrôle du passe», mais qu’«en revanche, tout ce qui est vérification des pièces d’identité n’est pas de leur responsabilité, mais de celle des forces de sécurité», une fraude simple consisterait donc, pour une personne non vaccinée et réticente aux dépistages réguliers, à intégrer le QR Code d’un vacciné du même sexe et d’un âge proche. Tant que son identité n’est pas contrôlée par un policier, il pourra jouir des mêmes avantages que les détenteurs en règle du pass sanitaire.

Le ministre de la Santé, Olivier Véran, n’a d’ailleurs pas manqué de soulever cette contradiction, jeudi matin, à l’Assemblée nationale, en faisant le parallèle avec les applications de streaming : «Un pass où il n’y a pas un contrôle systématique, c’est un abonnement Netflix familial. C’est indispensable d’avoir du contrôle. Sinon, c’est comme les codes Canal, tout le monde va se les passer.»

En effet, contrairement à un compte Netflix, cette fois-ci personnel, où deux personnes ne peuvent pas utiliser la même session au même moment, ou à un billet de train, qui ne peut être scanné qu’une fois avant l’embarquement, il est tout à fait possible d’utiliser le même QR Code d’une personne vaccinée à deux endroits différents. A l’aide de l’application «TousAntiCovid Vérif» destinée aux professionnels, CheckNews a scanné le même code à quelques minutes d’intervalles depuis deux lieux distincts. Aucun avertissement de doublons ne s’est affiché.

Jointe par CheckNews, la direction générale de la santé indique que la fonction «carnet» de TousAntiCovid est «prévue pour faciliter l’usage des certificats de tests et de vaccination pour soi et ses proches». Et rappelle que «les certificats de tests et de vaccination sont générés de manière sécurisée dans SI-DEP et Vaccin Covid, et sont stockés uniquement en local, sur le téléphone de l’utilisateur, dans l’application TousAntiCovid, de manière chiffrée». Cette sécurisation a pour effet que lors d’un contrôle, l’autorité compétente ne peut que lire les informations du QR Code mais ne peut pas les stocker. Ce système empêche donc de géolocaliser ou d’enregistrer l’heure à laquelle un contrôle a été effectué.

Le fait de pouvoir obtenir un QR Code sur plusieurs téléphones a été pensé, notamment, pour les personnes possédant plusieurs téléphones. Mais du coup, cet aspect pratique permet à quiconque de s’attribuer un QR Code de vaccination, sans qu’aucune vérification d’identité ne soit effectuée, et sans limitation du nombre d’ajouts de codes sur son téléphone portable. La DGS reconnaît d’ailleurs qu’«il n’est pas possible de détecter automatiquement l’utilisation inhabituelle d’un QR Code».

Le seul moyen de lutter contre les abus consiste à les détecter sur le terrain, puisque la DGS indique que lorsqu’«un QR Code a été identifié comme corrompu par une autorité, il nous est possible de le placer sur une «liste noire» via l’identifiant du certificat, dans TousAntiCovid Verif pour qu’il soit refusé à la lecture». En cas d’abus, l’autorité sanitaire indique que les risques encourus doivent encore être précisés par le projet de loi relatif à la gestion de la crise sanitaire, qui est en cours de discussion au Parlement, et renvoie pour l’instant vers les condamnations prévues pour usage de faux.