Pass sanitaire : comment le code QR de Jean Castex s’est retrouvé sur internet

En répondant à une question d’un lecteur, le quotidien Libération a confirmé que le code QR du pass sanitaire de Jean Castex s’était bel et bien retrouvé accessible en ligne. Mais il ne s’agirait pas d’une faille de sécurité ou d’un piratage.

Le 19 septembre CheckNews (le service de fact-checking du quotidien Libération) a été sollicité par un lecteur au sujet d’un homme prétendant être en possession du code QR du pass sanitaire de Jean Castex. Relayée par Le Parisien, l’information provient d’un dénommé Mathis Hammel qui se présente comme un directeur du département de cybersécurité du groupe Sogeti, une société de conseil en technologies de l’information spécialisée dans les services professionnels locaux. Mathis Hammel a publié sur son compte le code QR d’un pass sanitaire en annonçant : «Game over, j’ai le QR code de vaccination du premier ministre.» Il a toutefois assuré avoir obtenu le document de façon totalement légale : «Promis, je l’ai obtenu de manière légale et je n’en ferai pas n’importe quoi, appelez-moi si vous voulez un coup de main en cybersécurité.»

Libération a affirmé qu’il ne s’agissait ni «d’une quelconque faille de sécurité ou d’autorisation». Il s’agirait initialement d’une photo du Premier ministre prise par un photographe professionnel. Le cliché date du 13 septembre dernier, lors d’un déplacement de Jean Castex dans un Ehpad de Clamart (Hauts-de-Seine), selon les métadonnées du fichier photographique.

L’origine de l’affaire remonte au tweet du 16 septembre du développeur David Libeau réagissant à la visibilité du code QR de Jean Castex sur la photo. «Sympa ton pass sanitaire», avait-il tweeté à l’attention du Premier ministre.

La résolution du code QR aurait alors été optimisée pour l’obtenir tel que Mathis Hammel l’a présenté sur Twitter. Ce dernier aurait contacté le Centre gouvernemental de veille d’alerte et de réponse aux attaques informatiques (CERT-FR) dès qu’il en aurait eu connaissance. La photo aura finalement été supprimée du site de l’agence dans la journée du 19 septembre. 

Le photographe, contacté par CheckNews, a alors expliqué avoir «fait une erreur en publiant un peu vite» le cliché en question. Pendant ce laps de temps, il était possible de télécharger le pass sanitaire de Jean Castex depuis l’application TousAntiCovid, comme l’explique le journal, sous réserve d’un contrôle d’identité.

Contacté par les deux médias, le cabinet du Premier ministre a assuré au Parisien vouloir «éviter toute utilisation malveillante des données» mais sans confirmer l’information.

Source à l’adresse RT France