@Séraphin Lampion
Bonjour Séraphin,

Il y a beaucoup de confusion sur ce sujet technique. Permettez-moi de tenter d’expliquer ce qui peut l’être.

Il faut voir un QR code comme une suite de 1 et de 0 représentée dans un format graphique entre trois carrés. Ces suites de 1 et de 0 forment des octets qui, une fois décodés, veulent dire quelque chose.

Une fois l’information du QR code décodée, elle est traitée selon l’une des « classes » définies par le standard.

Le QR code sur la carte d’électeur, puisque vous en parlez, encode une simple URL (adresse Internet). Quand on le flashe, on est redirigé vers l’adresse encodée. Cette utilisation du QR code est totalement inoffensive (je vous expliquerai pourquoi plus loin).

Certains QR codes, par exemple, encodent une fiche de contact. Quand on le scanne avec son téléphone portable, on n’a plus qu’à ajouter le contact avec toutes les infos. J’en avais un au dos de ma carte de visite dans les années 2000, et je m’étais débrouillé pour que les points du QR code représentent un smiley (c’est faisable grâce au taux d’erreur acceptée dans l’encodage. L’astuce a été éventée depuis et les gens placent n’importe quoi au centre.)

Ce ne sont que quelques exemples des classes « standard » supportées par ce format d’encodage.

Le QR code utilisé sur les « pass sanitaires », que j’exècre tout comme vous, en revanche c’est autre chose. Il encode des informations sanitaires vous concernant (qu’on peut décoder ; je l’ai fait, d’autres également) et les « scelle » à l’aide d’une cryptographie asymétrique, de sorte que chacun peut « calculer » que les informations présentées n’ont pas été falsifiées (grâce à une opération mathématique dont l’un des termes est la clé publique incluse dans l’information), mais que seul l’émetteur de cette clé publique (qui en possède la clé privée correspondante), en l’occurence l’AP/HP, peut « signer », nom de l’opération qui consiste à « tamponner » numériquement l’information de façon à ce qu’on puisse la vérifier avec cette fameuse clé publique. Cette manière d’encoder et de verrouiller l’information n’est pas néfaste en soi ; ce qui l’est, c’est qu’au moment où s’opère la vérification (en flashant le code grâce à l’application spéciale), puisqu’elle authentifie son porteur, il devient possible de savoir où se situe celui-ci à l’instant où la vérification s’opère — puis, par recoupement des informations sur une journée et d’autres individus, de savoir où il est allé, à quelle heure, et avec qui. Je connais bien le métier et je peux vous assurer que quand une information sur les utilisateurs d’une infrastructure informatique est techniquement collectable, elle l’est. Qu’elle soit utilisée ou pas ensuite, jamais-nous-n’oserions-croix-de-bois-croix-de-fer, c’est autre chose, mais vous pouvez être sûr que la collecte est faite : c’est dans l’encodage génétique du programmeur moderne. C’est cette utilisation du QR code que je qualifie de totalitaire. Pour cette raison, j’ai toujours refusé d’en avoir (je n’ai pas été vacciné et je n’ai effectué aucun test en laboratoire sauf quand il m’était impossible de faire autrement, pour sortir de l’île par exemple ; du reste je ne suis pas tombé malade.)

Cette utilisation particulière du QR code ne fait pas partie des classes d’information définies par le standard, raison pour laquelle il faut une application spéciale pour les lire. Toutes les classes d’information définies par le standard sont respectueuses de votre anonymat ; il n’y a que celle-là qui ne le soit pas.

Globalement, on peut dire que quand vous pouvez lire un QR-code avec l’appareil photo de votre téléphone, sans avoir besoin d’une application spéciale pour en interpréter les données, alors ce QR code est totalement inoffensif *.

En revanche, quand il vous faut une application spéciale, méfiez-vous.

*Nota : bien entendu on peut imaginer parmi ces classes standard une adresse Internet qui « tracerait » les visites de la page sur laquelle elle renvoie, mais cela ne permettrait d’obtenir ni votre identité ni votre géolocalisation ; et ce ne serait pas une surveillance plus grande que celle qui s’opère actuellement sur n’importe quel site Internet qui mesure son audience (dont AgoraVox).

En espérant avoir pu démystifier quelque chose.

Bien à vous