Depuis l’allocution d’Emmanuel Macron en début de semaine annonçant la généralisation du pass sanitaire dans les semaines à venir, les requêtes visant l’obtention d’un faux QR code ont explosé.

En effet, dès le 21 juillet, il deviendra le précieux sésame afin de mettre un pied dans un théâtre ou un cinéma, tandis qu’il sera nécessaire pour aller dans un restaurant ou un bar à compter du mois d’août.

Pour ceux qui prennent rendez-vous aujourd’hui, le pass sanitaire arrivera donc trop tard pour profiter des vacances. Reste encore la solution des tests PCR négatifs de moins de 48 heures, mais la manipulation n’a définitivement rien d’agréable, surtout quand elle doit être répétée tous les deux jours.

Jusqu’à 3 ans de prison

Pour les retardataires qui seraient tentés d’acheter un faux pass sanitaire sur le web, ne tombez pas dans le piège. Premièrement, vous risquez gros. Très gros. Pour faux et usage de faux, la peine encourue s’élève à trois ans de prison et près de 45 000 euros d’amende. La peine pourrait même s’alourdir si le détenteur d’un faux QR code finissait par être testé positif au Covid-19, auquel cas il serait alors susceptible d’avoir mis en danger la vie d’autrui.

Les faux QR Code ne fonctionneront pas

Surtout : les pass sanitaires que vous pourriez vous procurer sur le web ne fonctionneront pas. C’est ce qu’a affirmé David Sygula, expert en cybersécurité invité au journal de 20 heures de TF1 ce 15 juillet, expliquant qu’on « ne peut pas cracker le QR Code ».

BFMTV a eu l’occasion d’interroger Gaëtan Leurent, chercheur en cryptographie à l’INRIA, à ce sujet afin d’obtenir plus d’informations sur la façon dont fonctionne le fameux QR Code du Pass sanitaire. Il confirme que ce QR Code comprend une « signature cryptographique » spécifique qui « certifie que les données viennent bien de l’Etat français ». En d’autres termes, il est impossible de le falsifier sans utiliser cette empreinte cryptographique unique, accessible uniquement en rentrant les informations dans une base de données officielle.

Le seul scénario possible, c’est donc l’émission de « vrais faux QR Code » par un professionnel de santé, qui pourrait bien déclarer avoir vacciné une personne sans que cela ne soit le cas en réalité. Dans ce cas-ci, le médecin véreux risquerait lui aussi une lourde sanction.