Selon les dernières actualités, quelques internautes ont réussi à dévoiler en ligne le pass sanitaire du Premier Ministre français. Cela fait suite à la diffusion inopinée de son QR Code via des photos prises par une agence de presse. Un comble, alors que les forces de l’ordre lui conseillaient d’éviter de poster son QR code vaccinal sur les réseaux sociaux, il y a quelques semaines à peine.
Le passeport sanitaire de Jean Castex dévoilé : les risques encourus
La photo incriminée de cette affaire daterait du 13 septembre dernier selon Libération. Elle aurait été prise lors d’un événement de presse où le Premier Ministre s’est rendu pour promouvoir la troisième dose vaccinale pour les populations fragiles. Le Parisien affirme que l’image aurait mis en évidence le code-barres du pass vaccinal de Jean Castex. Celle-ci a circulé sur la toile pendant 48 heures tout au plus, mais ce court laps de temps a permis à quelques internautes de reproduire le QR code et de le rendre public. Il semblerait qu’ils voulaient interpeller Matignon sur l’importance de protéger les données des vaccinés. Un des chercheurs ayant utilisé le cliché pour en récupérer le code-barres confie avoir été contacté par le CERT-FR pour une potentielle fuite de données. Après cela, la photo a été retirée du web par l’agence de presse éditrice.
En quoi la diffusion publique de ce QR Code pose problème ? C’est simple, cela a permis de récupérer les données de vaccination de Jean Castex, notamment la date de la dernière dose reçue et le type de vaccin administré. Cela sous-entend que le problème peut arriver à tout le monde. D’autre part, cela démontre qu’il est possible d’utiliser le QR code d’autrui pour accéder à n’importe quel lieu exigeant un pass sanitaire. En d’autres termes, cela met en évidence une faille du système de sécurité.
Une photo de presse coupable : un cas non isolé
Cet incident nous rappelle la nécessité de garder son QR Code vaccinal confidentiel, mais aussi que ce n’est pas la première fois que des contenus de presse sont utilisés comme un outil de piratage. Par le passé, des photos de presse ont dévoilé des mots de passe et des données d’authentification sensibles.
Par exemple, des photos de journalistes ont révélé des mots de passe de TV5Monde, ce qui a permis une attaque au rançongiciel. Cela a bloqué la diffusion de la chaîne. En Allemagne, les empreintes digitales du ministre de la Défense ont été reproduites à partir d’une photo de presse. Les malfaiteurs voulaient mettre en avant les failles inhérentes à l’authentification biométrique. À l’époque des faits, celle-ci représentait une solution bien efficace que le mot de passe pour sécuriser l’accès. Contrairement au mot de passe, ce type d’authentification n’est pas révocable ou remplaçable en cas de piratage. Les informations conservées ne sont pas modifiables. Il en va de même pour l’identification, d’où la nécessité de ne pas jamais exposer ses QR code.