Le code HC1:6BFOXN désigne l’en-tête standardisé des certificats sanitaires européens, une sorte de “carte d’identité numérique” de votre pass vaccinal. Nous avons décidé de vous expliquer ce système cryptographique car comprendre ces technologies renforce votre confiance et votre autonomie. Vous allez découvrir :
- La structure technique précise de ces QR codes sécurisés
- Les données personnelles et médicales qu’ils contiennent
- Les mécanismes de protection contre la falsification
- Les outils pour vérifier l’authenticité d’un certificat
Qu’est-ce que le code HC1:6BFOXN ?
Le préfixe HC1: représente la signature technique du Certificat Vert Européen. Cette nomenclature standardisée permet aux applications de vérification d’identifier instantanément le type de document scanné.
La suite “6BFOXN” et les caractères suivants constituent les données encodées en base45, un format compact permettant de stocker beaucoup d’informations dans un QR code facilement scannable. Chaque certificat valide commence par “HC1:”, garantissant l’interopérabilité entre les 27 pays de l’Union Européenne.
Que contient réellement un QR code COVID au format HC1 ?
Votre certificat contient exactement 9 catégories d’informations. Vos données d’identité : nom et prénom standardisés sans accents (fn, gn), date de naissance (dob). Vos données de vaccination : identifiant unique UVCI (ci), pays émetteur comme “FR” (co), nombre de doses reçues et nécessaires (dn, sd), date de dernière injection (dt), fabricant avec code ORG-100030215 pour Pfizer (ma), produit EU/1/20/1528 (mp), code maladie 840539006 pour COVID-19 (tg), type de vaccin J07BX03 (vp).
Nous trouvons rassurant que ces informations restent limitées : aucune adresse, aucun numéro de sécurité sociale, aucun historique médical complet.
Comment fonctionne l’encodage et la sécurité du HC1 ?
Le processus suit 5 étapes précises : les données sont structurées au format CBOR (version compacte du JSON), puis compressées avec zlib (réduction de 40 à 60%), encodées en base45, encapsulées dans COSE avec signature cryptographique, et signées via ECDSA avec hachage SHA-256. Cette architecture en couches garantit que toute modification invalide immédiatement le certificat.
Comment vérifier ou lire un code HC1:6BFOXN ?
Les applications comme TousAntiCovid Verif effectuent automatiquement les vérifications cryptographiques en comparant la signature avec les clés publiques des autorités sanitaires. Pour les curieux, des bibliothèques Python (base45, zlib, cbor2, ecdsa) permettent l’analyse technique, mais nous recommandons les applications officielles pour un usage quotidien.
Que faire en cas de QR code illisible ou non reconnu ?
Nous avons identifié 4 causes principales : écran défectueux (augmentez la luminosité à 100%), certificat papier dégradé (téléchargez une nouvelle copie sur Ameli), application obsolète (vérifiez les mises à jour), certificat expiré (consultez la validité). Conservez toujours deux formats : numérique sur smartphone et copie papier de secours.
Falsification et sécurité : le code HC1 est-il inviolable ?
Nous devons être transparents : le système présente des vulnérabilités. Chaque certificat est signé avec une clé privée détenue par l’autorité émettrice (CNAM pour la France, CN=DSC_FR_023). La vérification utilise la clé publique correspondante.
Des chercheurs ont découvert des passes frauduleux avec signatures valides. Le cas le plus médiatisé concernait un certificat au nom de “ADOLF HITLER” avec une date de naissance au 1er janvier 1900. Malgré ces données impossibles, la signature était techniquement correcte, prouvant qu’une clé privée avait été compromise. La sécurité repose entièrement sur la protection des clés par les autorités sanitaires.
Quelle est la durée de validité d’un certificat HC1 ?
Nous distinguons deux validités. Validité technique : le certificat contient un champ iat (émission) et exp (expiration), généralement 1 an. Validité réglementaire : les règles sanitaires évoluent indépendamment. Votre QR code peut être techniquement valide mais réglementairement insuffisant.
| Type de certificat | Durée technique | Durée réglementaire |
| Vaccination complète | 365 jours | 4 à 7 mois |
| Dose de rappel | 365 jours | Variable |
| Test PCR | 72 heures | 24 à 72h |
| Test antigénique | 48 heures | 24 à 48h |
| Certificat rétablissement | 180 jours | 4 à 6 mois |
Vos données personnelles sont-elles en sécurité ?
Le certificat HC1 contient uniquement les informations nécessaires à la vérification sanitaire, respectant le principe de minimisation du RGPD. Votre certificat reste sur votre smartphone : aucune base centralisée ne conserve l’historique de vos passages. L’application de vérification lit le QR code, confirme sa validité, puis efface immédiatement les données. Nous apprécions cette architecture respectueuse de la vie privée.
Ressources utiles pour aller plus loin
Plateformes officielles : Ameli.fr pour télécharger votre certificat, Santé Publique France pour les questions réglementaires, Digital COVID Certificate Gateway européen pour les clés publiques. Documentation technique : GitHub “eu-digital-green-certificates” avec spécifications complètes, RFC sur CBOR et COSE, bibliothèques comme “python-base45”. Sécurité : blog de l’ANSSI pour les analyses.
Nous espérons que cet article vous a permis de mieux comprendre la technologie derrière le pass sanitaire. Cette transparence technique renforce votre capacité à faire des choix éclairés concernant votre santé et vos libertés.
