Comment donc le pass sanitaire du Premier Ministre s’est-il retrouvé en ligne ? Une simple photographie de presse, prise à l’occasion d’un déplacement, et c’est le drame.
Il ne se passe pas une semaine sans que l’on reçoive une communication sur le pass sanitaire, et sur comment des petits malins, voire des réseaux organisés, en profitent. Trafic de passes dans des centres de vaccination, vente de faux QR code, un véritable petit marché noir s’est mis en place autour du précieux sésame des terrasses et des salles obscures.
Alors, quand le pass sanitaire d’Emmanuel Macron a été rendu public grâce aux indiscrétions de professionnels de santé, on a senti venir la faille de sécurité. Et voilà soudain que, le 18 septembre, le directeur de la R&D de Sogeti, Matthis Hemmel, annonce sur Twitter avoir le QR Code de Jean Castex. Mais que s’est-il donc passé ? Le SI-DEP a-t-il fuité ?
Selon l’enquête de CheckNews de Libération, point de faille de sécurité ici, mais plutôt une maladresse de photographe. Le 13 septembre, le chef du gouvernement est en déplacement dans un Ehpad à Clamart, dans les Hauts de Seine, afin de faire la promotion de la campagne de rappel vaccinal pour les personnes vulnérables.
Souriez, votre pass est photographié
Sur place, les photographes mitraillent, et l’un d’eux réalise une magnifique photo du téléphone de Jean Castex. A l’écran, le 2D-Doc (un code barre similaire à un QR Code) du Premier Ministre. La photo se retrouve sur le site de l’agence employant le photographe et reste plusieurs jours en ligne. Ce qui laisse le temps à Mathis Hemmel et à d’autres de reconstituer le pass sanitaire de Jean Castex.
Le directeur de la R&D de la branche cybersécurité de Capgemini est beau joueur. Outre son tweet où il explique avoir « obtenu de manière légale » le QR Code du chef du gouvernement et qu’il n’en « [fera] pas n'importe quoi », il prévient le CERT-FR, qui s’enquiert ensuite de l’origine de la fuite. Depuis la photo a été retirée du site de l’agence et le QR Code du Premier Ministre est inutilisable. Plus de peur que de mal, mais un bon rappel : ne laissez pas traîner votre QR Code en ligne !