Le code affiché sous la forme HC1: 6BFOXN… représente un certificat numérique de santé utilisé pour les attestations COVID en Europe. Je vous propose une lecture claire et pratique : pourquoi ce préfixe existe, comment le QR code est construit, comment le décoder étape par étape et quelles précautions prendre pour protéger ces informations personnelles. 💪📱
À retenir :
HC1: 6BFOXN… = certificat COVID UE : je vous aide à le lire étape par étape et à le garder confidentiel 💪📱.
- HC1: indique “Health Certificate v1” ; c’est un préfixe lisible, pas chiffré.
- Décodage express 🧩 : scanner → retirer HC1 → Base45 → zlib → COSE/CBOR → JSON.
- Ce qui apparaît 🧪 : identité, type (vaccin/test/rétablissement), dates, pays, identifiant, lot ou résultat.
- Signature numérique 🔏 : valide l’authenticité via clés publiques, mais authenticité ≠ confidentialité.
- Protection 🔒 : ne partagez jamais votre QR, préférez les apps officielles, supprimez les captures et évitez l’envoi à des tiers.
Signification du code HC1 6BFOXN
Le préfixe HC1: indique la version et le format du certificat de santé — il provient de « Health Certificate v1 ». Ce préfixe n’est pas une partie chiffrée mais une signature textuelle qui signale que la suite alphanumérique contient un certificat numérique structuré.
Ce format a été normalisé pour les certificats COVID européens, souvent nommés DCC (EU Digital COVID Certificate). Il a été conçu pour permettre de prouver l’état vaccinal, un test négatif ou un rétablissement après infection, et facilite la vérification inter‑pays grâce à des champs standardisés et une signature numérique reconnue par les autorités sanitaires.
Structure technique du QR Code DCC
Le QR code ne stocke pas simplement du texte lisible : il contient un certificat numérique signé conforme aux spécifications européennes. Le contenu suit une chaîne d’encodage précise qui permet aux applications de vérification de valider l’authenticité des données.
Les éléments inclus sont normalisés afin que différents systèmes puissent les interpréter sans ambiguïté. On y trouve à la fois les informations personnelles et les métadonnées nécessaires à la vérification et à la durée de validité du certificat.
- Type de certificat : vaccination, test rapide/RT‑PCR, rétablissement.
- Détails médicaux : type de vaccin, fabricant, numéro de lot, ou type et résultat de test.
- Métadonnées : pays émetteur, identifiant du certificat, dates de validité.
Étapes de décodage d’un QR Code HC1 6BFOXN
Voici la méthode technique suivie par la plupart des tutoriels et outils open source pour arriver aux données lisibles. Les étapes sont reproductibles par script ou manuellement avec les bons utilitaires.
Chaque étape transforme la représentation du message pour en révéler la structure interne : du QR au JSON final.
- 1. Scanner l’image du QR code avec un smartphone ou une bibliothèque de lecture de QR pour extraire la chaîne textuelle.
- 2. Retirer le préfixe “HC1:” de la chaîne obtenue pour isoler la portion encodée.
- 3. Décoder la chaîne restante en Base45 — un encodage choisi pour sa compacité.
- 4. Décompresser le flux obtenu avec zlib pour récupérer le message binaire sous-jacent.
- 5. Interpréter le message COSE (format de message signé) pour extraire le payload CBOR, qui contient finalement les données structurées pouvant être converties en JSON lisible.
Contenu typique lisible après décodage
Après décodage complet, le payload expose des champs compréhensibles et standardisés. Selon le type de certificat, les attributs présents varient mais obéissent à la même structure.
Ci‑dessous, je détaille ce que vous trouverez généralement dans chaque type de certificat et ce que cela signifie pour l’utilisateur et pour un vérificateur.
Certificat de vaccination
Un certificat de vaccination affiche le nom et la date de naissance du titulaire, ce qui permet d’établir l’identité. Il inclut ensuite des informations sur les doses administrées : les dates d’injection, le nombre de doses, ainsi que le type de vaccin et le fabricant.
On y trouve aussi le numéro de lot du vaccin et le pays d’administration, ce qui aide à tracer la provenance et la conformité aux règles locales. Ces éléments servent à valider l’admissibilité à des exceptions ou à mesurer la couverture vaccinale.
Certificat de test
Le certificat de test indique le type de test (antigénique rapide ou RT‑PCR), la date et l’heure de prélèvement, ainsi que le résultat (positif/négatif). Ces informations sont essentielles pour vérifier une fenêtre temporelle d’acceptation, par exemple pour un trajet ou l’accès à un événement.
Le centre de test ou le laboratoire est aussi référencé dans les métadonnées, permettant la vérification administrative et la recherche d’éventuelles fraudes si nécessaire.
Certificat de rétablissement
Le certificat de rétablissement s’appuie sur une date de test positif qui sert de point de départ pour calculer la période de validité. Il mentionne la période pendant laquelle le certificat est considéré comme valable pour attester d’une immunité temporaire ou d’un état de non‑contagiosité.
Les métadonnées incluent le pays émetteur et l’identifiant du document. Ces informations permettent aux systèmes de vérification d’accepter ou de refuser le document selon les règles locales et les dates limites.
Pour faciliter la comparaison rapide, voici un tableau synthétique des champs les plus courants.
| Champ | Vaccination | Test | Rétablissement |
|---|---|---|---|
| Nom / Prénom | Oui | Oui | Oui |
| Date de naissance | Oui | Oui | Oui |
| Type | Type et fabricant du vaccin | Antigénique / RT‑PCR | Date du test positif |
| Dates | Dates d’injection | Date/heure du prélèvement | Période de validité |
| Identifiant | Identifiant du certificat | Identifiant et centre | Identifiant et pays émetteur |
Encodage, chiffrement et vérification de la signature
Il est important de distinguer deux notions : l’encodage et la protection des données. Les certificats utilisent une chaîne d’encodage (Base45 → zlib → COSE/CBOR) et une signature numérique, mais les données elles‑mêmes ne sont pas chiffrées.
Cela signifie que, pour qui dispose des bons outils, le contenu peut être lu hors ligne sans accès à une autorité centrale. En revanche, la signature numérique garantit que le certificat n’a pas été altéré et provient d’une autorité émettrice reconnue par le réseau de confiance de l’UE.
La vérification s’appuie sur des clés publiques et des listes de confiance ; les applications officielles comparent la signature au registre des autorités émettrices pour valider l’authenticité. Si la signature ne correspond pas, le certificat est rejeté comme invalide ou falsifié.
Outils pratiques pour décoder un QR Code
Si vous êtes développeur ou curieux technique, de nombreux scripts automatiques reproduisent les étapes décrites plus haut. Des exemples en Python ou en Java montrent comment enchaîner lecture QR → Base45 → zlib → COSE → CBOR pour obtenir le JSON final.
Les bibliothèques utiles incluent des modules pour le décodage Base45, la décompression zlib, et l’interprétation COSE/CBOR. On trouve aussi des projets open source offrant des lecteurs HC1 prêts à l’emploi pour l’affichage pédagogique du contenu.
- Langages fréquemment utilisés : Python (scripts rapides) et Java (intégration applicative).
- Fonctions automatisées : lecture de l’image, extraction du texte, conversion Base45, décompression et parsing COSE/CBOR.
Ces outils permettent de vérifier localement un certificat sans en transmettre les données à un service tiers, pratique pour des tests ou des audits techniques.
Précautions de confidentialité
⚠️ Le caractère non chiffré du payload implique un risque évident : partager la photo ou la capture du QR code revient à partager des données personnelles et médicales. Traitez-le comme un document d’identité ou un dossier médical.
Évitez de publier une image du QR code sur les réseaux sociaux, d’envoyer le fichier à des services non vérifiés ou de le laisser accessible dans des espaces partagés. Même si la signature protège contre la falsification, elle ne protège pas contre la lecture non autorisée.
Pour limiter l’exposition, privilégiez l’affichage dans des applications officielles de vérification, utilisez des captures temporaires lorsque nécessaire, et supprimez rapidement les images si elles ne sont plus utiles. 🔒
En résumé, le code HC1: 6BFOXN… est une entrée vers un certificat structuré, encodé et signé mais lisible par des outils adaptés. Vous savez désormais comment le décoder, quels champs attendre et comment protéger ces informations quand vous les manipulez. 📲
