Petit tuto pour les paranos

Bon, cette période d’épidémie de virus (biologique, pas informatique) est aussi une période d’épidémie de fake news.

La dernière en date concerne le formulaire de génération d’attestation de déplacement. Cette rumeur tient au fait que le QR code généré par ce formulaire permettrait de récupérer les données présentes sur votre téléphone.

Avant de rentrer dans les détails, je tient à signaler qu’avec les QR codes, les risques, s’il y a, sont courus par le dispositif qui lit ces dit codes, donc dans le cas de cette attestation, les terminaux utilisé par les forces de l’ordre.

Analyse du QR code généré

Cette analyse est faisable par n’importe qui disposant d’un lecteur de QR code sur son smartphone.

1ère étape : remplir le formulaire sur le site du ministère de l’Intérieur.

2e étape : scanner le QR code généré (j’ai ici utilisé l’appli photo de mon téléphone – Samsung Galaxy S8 – qui lit nativement les QR codes),

Scan du QR code

et là, miracle !!, ce code ne contient que du texte (voir ci-dessous).

Cree le: 07/04/2020 a 17h24; Nom: Doe; Prenom: John; Naissance: 01/01/1970 a Paris; Adresse: 42 rue des plantes 75014 Paris; Sortie: 07/04/2020 a 17h11; Motifs: courses-famille

Rien qu’avec cette rapide et simple analyse, on peut se rendre compte que ce code ne contient rien d’autre que ce qui est renseigné dans le formulaire. Vos données personnelles ne sont pas compromises par ce code.

Analyse technique de la page

Code HTML

En analysant le code HTML de la page, on remarque que le formulaire présent sur la page ne contient aucun champ caché. Donc, aucune autres informations que celles demandées ne sont récupérées.

Ce formulaire envoie ses données à un code JavaScript, que je vais analyser ci-dessous.

Code JavaScript

En analysant ce code, il est évident que c’est bien lui qui génère le fichier PDF qui est alors renvoyé. Dans ce code il y a bien lecture et écriture de données sur la machine de l’utilisateur, mais uniquement dans le Web Storage, des données accessibles que par le navigateur. Et ces données ne sont que la date renseignée dans le formulaire.

De plus, comme c’est ici du JavaScript qui est utilisé, il est impossible d’accéder aux données sur votre machine.

Conclusion

Ces deux analyses permettent alors de confirmer que non, l’attestation de déplacement numérique ne permet pas de collecter des données présentes sur votre téléphone.

Voir également le fact-checking effectué par l’AFP.

Laisser un commentaire