Par Pascal Merlin, business unit manager chez Certigna

 

Dans nos activités de consommateur ou d’usager de services publics, ces codes mystérieux composés de « petits carrés blancs et noirs » se sont imposés grâce à leur facilité d’usage. Plus perfectionnés que leur ancêtre, le code-barres, ils sont des vecteurs précieux de transmission de données. Dernière déclinaison : le 2D-Doc, qui intègre les dernières technologies de sécurisation de la data.

 

Fin mars, le Parlement européen a présenté un projet de passeport sanitaire destiné aux citoyens des pays membres de l’UE. Ce document, que l’institution souhaiterait mettre en œuvre à partir de la mi-juin, permettra aux citoyens de circuler grâce à une preuve que son propriétaire est bien détenteur d’un test PCR négatif ou d’un certificat de vaccination contre le Covid-19. L’élément clé là-dedans ? Un QR code relié à une base de données paneuropéenne, contenant trois types de certificats (résultats des tests, vaccination et guérison).

 

Le QR code, qui date – déjà ! – de 1994, est l’une des technologies de la vaste famille des « codes 2D ». Comme le définit Pascal Merlin, business unit manager chez Certigna, « le code 2D est un vecteur de transport de données. L’intérêt de cette représentation graphique est de véhiculer de l’information et de la capturer facilement. » Alors que le code-barres traditionnel décline, de manière horizontale, une suite de chiffres et lettres, le code 2D, apparu dès la fin des années 1980, permet d’embarquer davantage de data. Sa structure bidimensionnelle se présente sous une forme compacte, carrée, et intègre un code de correcteur d’erreurs qui permet de récupérer les données à partir d’une seule partie scannée. « Plusieurs technologies sont apparues, comme datamatrix, flashcode, QR Code… Mais elles partagent le même principe de fonctionnement, simplement avec des différents formats de représentation. »

 

D’un usage industriel à une utilisation grand public

Le code 2D est donc un « simple » contenant de données embarquées. Le stockage, lui, dépend du choix de celui qui l’émet.

A l’origine, le QR code avait plutôt une utilisation industrielle : il permettait à des machines de lire facilement les données apposées à des pièces. Plus simple qu’une technologie de lecture et de décryptage de lettre, cet usage a contribué à populariser les premiers codes 2D. C’est en détournant cet usage pour de la communication et du marketing que ces codes sont arrivés jusqu’aux particuliers. La société japonaise Denso Wave, créatrice du QR code pour le suivi des pièces automobiles de Toyota, a ainsi décidé l’adapter au grand public. D’abord plébiscité par les Japonais, il va progressivement être adopté à l’échelle mondiale, bénéficiant de la rapide montée en puissance des smartphones et des applications mobiles. e-billets de train, composition de produits sur les emballages cosmétiques, audio-guides dans les musées… vous les avez forcément déjà croisés !

« L’objectif, cette fois, est de renvoyer facilement vers un site grâce à une URL, renforçant ainsi le lien entre le consommateur et le producteur ou le revendeur », indique Pascal Merlin, en citant quelques usages courants : l’accès à une publicité ou aux contenus enrichis d’un article ; à une rubrique de chat, dans une émission TV ; à une plateforme de commande, dans le cas du téléachat… « Le smartphone va permettre de profiter d’une expérience augmentée, grâce à l’accès à un contenu complémentaire ou l’activation d’une fonctionnalité, comme par exemple celle de passer sa commande au restaurant. »

 

Les enjeux d’un code 2D sécurisé

Si ces usages ne présentent aucun enjeu de sécurité, ce n’est pas le cas des titres administratifs, comme la carte d’identité, dont l’émission ou le renouvellement nécessite de vérifier l’authenticité des pièces du dossier. Ces dernières années, une nouvelle norme a ainsi fait son apparition sous l’impulsion de l’Agence Nationale des Titres Sécurisés (ANTS). Mandatée par le ministère de l’Intérieur, elle a mis en place le 2D-Doc pour lutter contre la fraude et sécuriser les documents échangés entre l’usager et l’administration. La solution est en particulier dédiée aux justificatifs (factures d’eau, téléphone, d’éléctricité, quittances d’assurance et de loyer, RIB, revenus, etc.) utilisés par les particuliers et/ou les professionnels dans leurs relations avec les entreprises, les services de l’administration ou les services sociaux. Comme le précise Pascal Merlin, « Le 2D-Doc comporte une signature infasifiable des données. Elle permet non seulement de vérifier l’intégrité de ces dernières, mais également d’identifier l’émetteur et signataire du document référencé ‘Participant 2D-Doc’, parmi lesquels Certigna (anciennement Dhimyotis). A l’inverse, si la signature ne peut être vérifiée (données falsifiées, émetteur non référencé auprès de l’ANTS, date de signature postérieure à la date d efin de validité du certificat, etc.) l’application de lecture affiche un message d’erreur et n’affiche pas les données présentes dans le code. »

 

2D-Doc, l’arme anti-fraude

Pour reconnaître qu’il s’agit d’un code 2D sécurisé, rien de plus simple : la mention « 2D-Doc » apparaît sur le bord du carré crypté. Il existe plusieurs applications spécifiques – et gratuites – pour vérifier la signature électronique et extraire les données, à l’instar de 2DOrigin. « Dans l’écosystème 2D-Doc, il existe une liste officielle des entités qui sont habilitées à générer ou vérifier ce type de code, précise Pascal Merlin. Parmi les entreprises qui ont opté pour cette technologie, un fournisseur d’energie l’utilise notamment pour les attestations de contrats qui servent de justificatif de domicile. »

La technologie en elle-même ne présente pas de grande différence avec les solutions non sécurisées : le justificatif est découpé en champs (« prénom », « nom », « adresse ligne 1 », etc.) obligatoires et optionnels, avec pour chacun une longueur maximum et des caractères autorisés. L’application va déformater le code, en repérant les différents champs à extraire et en effectuant les contrôles associés au descripteur de champs. Pour authentifier le document, il suffit alors de lire les données écrites sur le document original et les données certifiées extraites du code celles affichées sur le smartphone : si elles sont identiques, le document est authentifié. Aujourd’hui la solution 2D-Doc permet ainsi de prévenir la fraude en détectant toute modification des données sur le document et/ou dans le code 2D-Doc. La signature du 2D-Doc protège ainsi l’intégrité des données qu’il contient. La vérification de la signature et le contrôle visuel des données extraites du code versus les données du document permettent donc d’authentifier le document.

 

De nouveaux usages en plein essor

La pandémie a clairement eu un effet d’accélérateur des technologies de code 2D, notamment la France où le QR code était encore peu développé. C’est par exemple le cas du secteur de la restauration, où la montée en puissance du « click and collect » s’est accompagné d’une présentation digitalisée des menus. D’autres services ont été lancés ces derniers mois pour favoriser de nouveaux usages, comme le paiement par code 2D, déjà proposé par Lydia, Lyf Pay et, aujourd’hui, par Paypal.

Les services utilisant le code bidimensionnel devraient donc se multiplier, à l’image des solutions de mobilité en livre service. Alors que les consommateurs sont de plus en plus vigilants sur la qualité des produits, des entreprises cosmétiques l’utilisent pour jouer la carte de la transparence, avec des QR codes permettant d’accéder à la liste complète des ingrédients, leur provenance, les contrôles qualité effectués, etc. Un cas d’usage significatif est leur apparition sur certains bulletins de paie, encodant les informations essentielles (prénom, nom, salaire brut et net). Ainsi sécurisé par un 2D-Doc, cela pourrait donc s’avérer sans doute un moyen utile pour limiter les fraudes dans les dossiers de location immobilière ? Qu’il s’agisse d’améliorer l’expérience client ou de garantir l’authenticité de documents, le code 2D a de beaux jours devant lui.