Le 19 septembre, CheckNews (le service de fact-checking du quotidien Libération) a été sollicité par un lecteur au sujet d'un homme prétendant être en possession du code QR du pass sanitaire de Jean Castex. Relayée par Le Parisien, l'information provient d'un dénommé Mathis Hammel, directeur du département de cybersécurité du groupe Sogeti, une société de conseil en technologies de l'information spécialisée dans les services professionnels locaux. Mathis Hammel a publié sur son compte le code QR d'un pass sanitaire en annonçant : «Game over, j'ai le QR code de vaccination du premier ministre.» Il a toutefois assuré avoir obtenu le document de façon totalement légale : «Promis, je l’ai obtenu de manière légale et je n’en ferai pas n’importe quoi, appelez-moi si vous voulez un coup de main en cybersécurité.»
Libération a affirmé qu'il ne s'agissait ni «d’une quelconque faille de sécurité ou d’autorisation». Il s'agirait initialement d'une photo du Premier ministre prise par un photographe professionnel. Selon le journal, le cliché date du 13 septembre dernier, lors d’un déplacement de Jean Castex dans un Ehpad de Clamart (Hauts-de-Seine). L'AFP aurait retiré le cliché selon cette même source.
L'affaire débute le 16 septembre après un tweet du développeur David Libeau qui réagissait alors à la visibilité du code QR de Jean Castex sur la photo. «Sympa ton pass sanitaire», avait-il tweeté à l’attention du Premier ministre.
La résolution du code QR aurait alors été optimisée pour l'obtenir tel que Mathis Hammel l'a présenté sur Twitter. Ce dernier aurait contacté le Centre gouvernemental de veille d’alerte et de réponse aux attaques informatiques (CERT-FR) dès qu'il en aurait eu connaissance. La photo aura finalement été supprimée du site de l’agence dans la journée du 19 septembre.
Le photographe, contacté par CheckNews, a alors expliqué avoir «fait une erreur en publiant un peu vite» le cliché en question. Pendant ce laps de temps, il était possible de télécharger le pass sanitaire de Jean Castex depuis l'application TousAntiCovid, comme l'explique le journal, sous réserve d'un contrôle d'identité.
Contacté par les deux médias, le cabinet du Premier ministre a assuré au Parisien vouloir «éviter toute utilisation malveillante des données» mais sans confirmer l'information.