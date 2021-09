Une photo immortalisant Jean Castex en train de montrer son QR code diffusée par une agence photo française a été à l’origine de sa fuite sur les réseaux sociaux. Bien que le 2D-DOC du Premier ministre ait été blacklisté des applications Covid, il peut toujours être valide et circuler, selon les informations de CheckNews.

«Game over, j’ai le QR code de vaccination du Premier ministre». C’est ainsi que Mathis Hammel, directeur recherche et développement de l'entreprise de cybersécurité Sogeti, a accompagné le 18 septembre une photo présentant le QR code du pass sanitaire de Jean Castex.

«Je n’en ferai pas n’importe quoi, appelez-moi si vous voulez un coup de main en cybersécurité», a-t-il poursuivi dans son tweet. Mais, courant de la journée, son compte n’était plus disponible.

En effet, c’est depuis le 16 septembre que le pass sanitaire du Premier ministre circulait sur le Web, divulguant son statut vaccinal, ce qui a été connu grâce au signalement de certains internautes, dont le développeur David Libeau.

Comme le précise CheckNews, Mathis Hammel a averti de sa découverte le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR). Ce dernier l’a contacté afin d’«identifier l’origine de la fuite et savoir si d’autres personnes sont également concernées».

Les métadonnées du centre ont montré que la photo depuis laquelle il a été possible de zoomer et ensuite scanner le QR code, avait été faite le 13 septembre, quand Jean Castex s’est rendu dans les Hauts-de-Seine.

Mesures prises

Dimanche après-midi, la photo à l’origine de cette fuite a finalement été supprimée du site de l’agence, précise CheckNews.

Répondant aux sollicitations de celui-ci, l’auteur de l’image a expliqué avoir «fait une erreur en [la] publiant un peu vite». Suite aux «remontées» notamment de la part de Matignon, la photo a été retirée. Or, elle peut toujours être disponible sur certains sites d’archives de contenus Web, souligne le quotidien. Qui plus est, bien que le 2D-DOC du Premier ministre ait finalement été blacklisté des applications TousAntiCovid et TousAntiCovid Verif, il peut toujours être utilisé, puisque, toujours selon la même source, les QR codes générés avant qu’ils soient blacklistés restent valides.

Le cabinet du Premier ministre n’a pas encore répondu aux sollicitations de CheckNews qui l’a contacté à ce titre.

En outre, au mois de juillet, CheckNews avait effectué une enquête, laquelle a montré qu’il était possible d’intégrer les QR codes des personnes vaccinées sans qu’elles ne s’en rendent compte. CheckNews a expliqué avoir mené cette expérimentation à plusieurs reprises avant de supprimer les QR codes générés. Il a été précisé qu’aucune personne dont le QR code a été usurpé n’a reçu d’avertissement.

Je l'attendais avec impatience, le #PassSanitaire de @JeanCASTEX semble avoir été blacklisté du back-end de conversion ce midi. Jusqu'alors, n'importe qui pouvait avec le 2D-Doc publié sur le web créer sans limite des QR Code européens valides (ayant le nom de "Jean Castex"). — David Libeau (@DavidLibeau) September 20, 2021

