Normes

Toutes les normes QR que nous reconnaissons, expliquées

Un code QR est un conteneur. Ce qu'il contient peut être un paiement, un carnet de vaccination, un permis de conduire, une eSIM, une connexion par clé d'accès, un appairage domotique, chacun régi par sa propre norme internationale, avec son propre modèle de menace. Voici la référence faisant autorité pour chaque norme que notre scanner identifie, ce qui se trouve réellement à l'intérieur quand vous le scannez, et exactement ce que nous exposons vs masquons délibérément.

Essayer le scanner → Voir la couverture complète →

Normes de paiement

Chaque QR que vous avez scanné pour payer un commerçant ces cinq dernières années repose sur la trame TLV d'EMVCo, mais le contenu est propre à chaque pays. Nous identifions le schéma précis, décodons les champs du commerçant que vous devez vérifier avant de payer, et validons la somme de contrôle CRC que les attaquants par échange d'autocollant ne peuvent pas falsifier.

EMVCo MPM / CPM

La norme de base pour chaque paiement par QR présenté par un commerçant dans le monde. Trame Tag-Longueur-Valeur portant le nom du commerçant, la ville, le pays, la devise, le montant, les informations de compte du bénéficiaire et une somme de contrôle CRC-16/CCITT-FALSE.

Nous exposons : le nom du commerçant, la ville, le pays, la devise ISO 4217 (table complète, 169 codes), la catégorie MCC, le montant, dynamique vs statique, l'indicateur de pourboire, les sous-champs de données additionnelles (libellé de référence, numéro de facture, libellé client, libellé de terminal, objet).

Évaluation de la menace : CRC invalide → suspect (le QR a été altéré ou corrompu, le signal d'échange d'autocollant le plus fiable).

Analyse approfondie de l'échange d'autocollant → · Référence du générateur →

Pix (Brazil)

Le schéma de paiement instantané de la Banque centrale du Brésil. Leader mondial en volume de transactions. Deux variantes : statique (un QR réutilisable) et dynamique (QR à usage unique avec un identifiant de transaction intégré).

Nous exposons : la clé Pix du destinataire (CPF / CNPJ / e-mail / téléphone / UUID EVP), la description du paiement, l'URL du QR dynamique lorsqu'elle est présente.

Comment en créer un →

UPI (India)

L'Unified Payments Interface de l'Inde, le plus grand par nombre d'utilisateurs. L'adresse de paiement virtuelle UPI (VPA) achemine les paiements entre banques en temps réel.

Nous exposons : la VPA du bénéficiaire, le nom du bénéficiaire, le montant, la devise, la référence de transaction, le MCC, la note de transaction.

Comment en créer un →

Swiss QR-bill

ISO 20022 SPC v2.2, pas EMVCo. Remplace le bulletin de versement suisse orange/rouge. 33 champs délimités par des lignes couvrant le créancier, le créancier final, le débiteur final, le type de référence (QRR / SCOR / NON), les informations de facturation et les procédures alternatives.

Nous exposons : l'IBAN du créancier, l'adresse complète du créancier, le débiteur final, le montant, la devise, le type de référence affiché en clair, la référence structurée, le message non structuré, l'URL de la procédure alternative eBill.

Comment en créer un →

EPC Girocode (SEPA)

QR de virement du European Payments Council. Largement utilisé en Allemagne, en Autriche, aux Pays-Bas et dans les pays nordiques pour le paiement de factures.

Nous exposons : le nom du bénéficiaire, l'IBAN, le BIC, le montant, les informations de remise, le code d'objet.

Comment en créer un →

ZATCA Fatoora (Saudi Arabia)

Facturation signée cryptographiquement, obligatoire sur chaque transaction commerciale dans le Royaume. Encodage TLV avec cinq balises requises (vendeur, numéro de TVA, horodatage, total, montant de la TVA) plus une signature ECDSA.

Nous exposons : le nom du vendeur, le numéro d'enregistrement de TVA, l'horodatage ISO 8601, le total de la facture, le montant de la TVA.

Comment en créer un →

Et bien d'autres : nous identifions les schémas de paiement nationaux de 54 pays — PromptPay (Thaïlande), PayNow (Singapour), DuitNow (Malaisie), QRIS (Indonésie), Bizum (Espagne), Swish (Suède), MB WAY (Portugal), BLIK (Pologne), Wero (UE), et des dizaines d'autres couverts dans le catalogue d'analyseurs.

Justificatifs de santé

Carnets de vaccination, ordonnances, résultats de laboratoire et certificats de voyage. Signés cryptographiquement par les autorités sanitaires nationales. Nous identifions le justificatif et exposons l'émetteur + le type, mais nous ne décodons délibérément jamais le nom, la date de naissance ou les antécédents médicaux du patient. Votre application de portefeuille est le bon endroit pour les consulter.

SMART Health Cards

JWS encodé numériquement enveloppant une charge utile JSON compressée par DEFLATE avec des ressources FHIR. Utilisé par Apple Wallet, le Common Trust Network, des États américains, des provinces canadiennes et plusieurs chaînes de pharmacies pour les carnets de vaccination et les résultats de laboratoire.

Nous exposons : l'URL de l'émetteur, l'horodatage ISO d'émission, le type de justificatif (covid19 / immunization / lab / etc.), la version FHIR, le nombre + les types de ressources.

Nous ne décodons jamais : le nom du patient, la date de naissance, les dates de vaccination/test, le corps des ressources FHIR individuelles. Verrouillé par les tests dans la suite d'analyseurs.

EU Digital COVID Certificate (HC1)

Le préfixe HC1: enveloppe une chaîne base45 → DEFLATE → COSE_Sign1 → CBOR → CWT se terminant par une revendication HCERT définie par l'UE. Encore utilisé pour des documents de voyage non liés à la COVID dans certains États membres après la fin de l'urgence COVID.

Nous exposons : le pays émetteur (ISO 3166-1), l'horodatage « pas avant » d'émission, l'horodatage d'expiration, la version du schéma, le type de justificatif (vaccination / test / rétablissement), la maladie ciblée (SNOMED-CT, « COVID-19 » affiché, pas le code brut 840539006), le pays de vaccination/test, l'organisation émettrice, le numéro de dose / total, le type de test, le résultat du test.

Nous ne décodons jamais : le nom du patient, la date de naissance, les dates de doses, l'identifiant unique de certificat (UVCI). Verrouillé par les tests.

Documents d'identité

Permis de conduire, identités mobiles et portefeuilles d'identité numérique. Le code-barres au dos d'un permis de conduire américain porte tous les champs figurant au recto. Le QR de permis de conduire mobile transmet une poignée de main de connexion afin qu'un vérificateur puisse se connecter par NFC / BLE pour lire les attributs.

AAMVA driver license

Le code-barres PDF417 au dos de chaque permis de conduire américain et canadien. Format sous-fichier/élément selon l'annexe D.12.5 de l'AAMVA Card Design Standard.

Nous exposons (~17 champs) : prénom/deuxième prénom/nom, date de naissance au format ISO, sexe, taille, couleur des yeux, numéro de permis (masqué), catégorie de permis, restrictions, mentions, expiration, date de délivrance, adresse complète, pays, indicateur de donneur d'organes, indicateur d'ancien combattant, seuil « interdit avant 21 ans ».

Sensible par défaut : le numéro de permis et la date de naissance s'affichent en champs masqués à révéler d'un appui, afin qu'une capture d'écran du verdict ne constitue pas elle-même une fuite d'identité. Un avertissement de confidentialité signale que les bars et clubs qui scannent les pièces d'identité reçoivent TOUTES ces données, pas seulement l'âge du titulaire.

Anatomie complète → · Référence du générateur →

Mobile Driver License (ISO 18013-5)

Le QR mdoc: que votre permis de conduire mobile iOS / Android affiche lorsqu'il est présenté à un vérificateur. CBOR DeviceEngagement avec un sélecteur de suite de chiffrement, la clé publique éphémère du titulaire et la liste des méthodes de transfert que le vérificateur peut utiliser pour se connecter.

Nous exposons : la version du protocole, la suite de chiffrement (P-256 ECDH-ES + A256KW est celle obligatoire aujourd'hui), les méthodes de transfert prises en charge (NFC / BLE / Wi-Fi Aware), l'hôte de récupération côté serveur (lorsque présent).

Nous ne décodons jamais : les octets de la clé publique éphémère du titulaire (exposée uniquement par sa longueur). Les attributs mDL réels transitent par le canal négocié après la connexion du vérificateur, jamais par ce scanner.

Guide mDL complet →

EU Digital ID Wallet (eIDAS 2.0)

Les schémas OpenID4VP et eudi-openid4vp pour la présentation d'identité transfrontalière. Déploiements par les États membres en montée en charge 2024-2026.

Nous exposons : la famille de protocole (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), le client_id, le nom d'hôte response_uri, le nom d'hôte request_uri pour les flux à requête signée, le response_mode.

DID URIs

Identifiants décentralisés — did:web, did:key, did:ion, did:ebsi et autres méthodes.

Nous exposons : la méthode DID, l'identifiant spécifique à la méthode, le paramètre de service, la référence relative, le fragment de vérification.

Authentification et clés d'accès

Les flux de connexion par QR qui protègent (ou compromettent) chacun de vos comptes. Nous identifions chaque type et avertissons clairement lorsqu'un QR vous demande de finaliser la connexion de quelqu'un d'autre au lieu de la vôtre.

FIDO CTAP 2.2 hybrid

Le QR de clé d'accès multi-appareils que votre ordinateur portable affiche lorsque vous vous connectez avec une clé d'accès sur votre téléphone. Map CBOR encodée en base10 avec la clé publique du pair, le secret du QR, l'indication d'opération, le domaine du serveur tunnel, l'horodatage et l'indicateur d'assistance d'état.

Nous exposons : l'opération (make-credential / get-assertion / discoverable), le domaine du serveur tunnel (par ex. cable.ua5v.com), l'horodatage ISO, la prise en charge de l'assistance d'état, la longueur de la clé publique du pair, la longueur du secret du QR.

Avertissement ferme : scanner ce QR finalise une connexion que quelqu'un A DÉMARRÉE SUR UN AUTRE APPAREIL. Si vous n'avez pas vous-même initié une connexion par clé d'accès, refusez — vous connecteriez à votre compte celui qui a généré ce QR.

À lire : dois-je scanner ce QR de connexion par clé d'accès ? →

HOTP / TOTP (2FA setup)

QR de configuration de mot de passe à usage unique RFC 4226 / RFC 6238. L'URI otpauth:// que votre banque ou votre application professionnelle affiche lors de l'enrôlement d'un authentificateur.

Nous exposons : l'émetteur, le compte, l'algorithme (SHA1 / SHA256 / SHA512), le nombre de chiffres (6 / 8), la période (TOTP) ou le compteur (HOTP), l'URL de l'icône de l'émetteur.

Sensible par défaut : le secret Base32 s'affiche en révélation d'un appui. Nous validons aussi le secret en Base32 et avertissons clairement lorsqu'il est mal formé — les applications d'authentification acceptent silencieusement les secrets mal formés puis génèrent des codes qui ne se vérifient jamais.

TOTP → · HOTP →

Authenticator export (otpauth-migration)

Le QR d'export en masse de Google Authenticator. Porte tous les secrets 2FA de l'authentificateur en une seule fois — un lot protobuf avec N entrées OtpParameters.

Nous exposons (par entrée) : l'émetteur, le compte, le type (HOTP / TOTP), l'algorithme, le nombre de chiffres, le compteur, ainsi que les métadonnées de version / lot. La divulgation énumère « Accès dans ce lot : ACME / alice@acme ; GitHub / bob@github ; … » afin qu'un utilisateur EN cours de migration puisse vérifier avant d'importer.

Nous ne décodons jamais : les octets réels de la graine secrète. Vérifié par des tests avec des chaînes canaris qui ne doivent jamais apparaître dans aucune sortie de verdict.

Avertissement ferme : la classe de menace est probablement dangereuse sauf si l'utilisateur est LITTÉRALEMENT en cours de migration entre ses propres appareils.

Anatomie complète + guide de sécurité →

Sign-In with Ethereum (SIWE / EIP-4361)

Le message de connexion en texte clair que votre portefeuille signe pour prouver à un site web le contrôle d'une adresse de portefeuille.

Nous exposons : le domaine du site, l'adresse du portefeuille, l'ID de chaîne, le nonce, l'heure d'expiration.

Avertissement : lisez attentivement le site et la déclaration — un site malveillant peut utiliser un message SIWE signé pour usurper votre identité sur ce domaine.

Voyage et billets

IATA boarding pass (Resolution 792)

Le QR / Aztec / PDF417 de votre carte d'embarquement aérienne. En-tête à largeur fixe (60 caractères) plus 37 caractères de données obligatoires par segment.

Nous exposons (par segment) : code de transporteur + numéro de vol (zéros retirés), trajet (DE → VERS), date (jour julien → ISO avec report d'année intelligent), siège, classe de cabine, numéro de séquence, statut (Embarqué / Accès salon / Contrôle de sécurité contourné / etc.). Les cartes multi-segments reçoivent des préfixes de ligne par segment.

Sensible par défaut : le PNR / la référence de réservation s'affiche en révélation d'un appui — votre nom plus le PNR suffit à accéder à la réservation sur la plupart des sites de compagnies aériennes. Ne publiez pas de photos de cartes d'embarquement.

Guide complet champ par champ →

eSIM activation (GSMA SGP.22)

The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].

Nous exposons : le FQDN du SM-DP+ (le serveur de l'opérateur qui dialoguera avec votre téléphone), le code d'activation, l'indicateur de code de confirmation requis.

Avertissement : un profil eSIM installé peut intercepter les SMS, ce qui inclut les codes 2FA par SMS. Vérifiez que le SM-DP+ correspond à votre véritable opérateur (Airalo, Saily, Truphone, Google Fi, etc.) à l'aide d'une liste d'autorisation avant l'installation.

Comment fonctionnent les QR d'activation eSIM →

Maison connectée et IoT

Matter onboarding

Code binaire compacté en base38 préfixé MT: de la Connectivity Standards Alliance. Appairage domotique multi-fournisseurs, fonctionne dans Apple Home, Google Home, Amazon Alexa, Samsung SmartThings.

Nous exposons : l'ID de fournisseur, l'ID de produit, le discriminateur, le code de configuration à 8 chiffres (masqué car sensible), le flux de mise en service, les indicateurs de capacité de découverte (Soft-AP / BLE / réseau IP existant), la version de la spécification.

Guide Matter complet →

Apple HomeKit (X-HM://)

URI de configuration d'accessoire Apple HAP. Antérieur à Matter ; toujours livré sur de nombreux accessoires qui ne prennent pas encore en charge Matter.

Wi-Fi Easy Connect (DPP)

Device Provisioning Protocol de la Wi-Fi Alliance, le remplaçant moderne de WPS. Utilisé dans les routeurs de l'ère 2025 pour l'enrôlement d'appareils par QR.

Bluetooth Auracast (BAU v1.0)

Le schéma QR du Bluetooth SIG pour les diffusions LE Audio. L'UUID de service 184F identifie Auracast ; nous exposons le nom de la diffusion (décodé en base64) et l'état de chiffrement.

Crypto et Lightning

Bitcoin (BIP-21)

L'URI de paiement Bitcoin standard. Nous exposons l'adresse, le montant (avec unité BTC/sat), le libellé, le message, le point de terminaison PayJoin (pj=), l'URL de demande de paiement BIP-72 (r=), les paramètres requis (req-*), le repli Lightning.

Ethereum (EIP-681)

URI de demande de paiement Ethereum avec sélection de chaîne. Nous décodons destinataire vs contrat, l'ID de chaîne avec libellé lisible (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), la valeur (wei → affichage soigné ETH/Gwei), le nom de l'appel de fonction, les arguments de transfert ERC-20.

Avertissement : un appel de contrat n'est pas la même chose qu'un simple envoi — les videurs de portefeuille comptent sur le fait que les utilisateurs ne remarquent pas la différence.

WalletConnect (ERC-1328)

L'URI d'appairage dApp↔portefeuille. Nous exposons la version (v2 est l'actuelle ; v1 est obsolète et plus faible), le sujet, le protocole de relais, la clé symétrique de session (masquée car sensible).

Solana Pay

L'URI de demande de transfert de la Solana Foundation. Nous exposons le destinataire, le montant, l'émission du jeton SPL, le libellé, la référence, le message, le mémo.

Lightning Network (BOLT-12, LNURL)

Les offres BOLT-12 (lno1…) sont des demandes de paiement Lightning réutilisables. LNURL (lnurl1…) encode en bech32 un point de terminaison HTTPS que votre portefeuille appelle pour récupérer une facture, effectuer un retrait, ouvrir un canal ou s'authentifier.

Cashu ecash

Jeton ecash au porteur. Distinct de tout autre format crypto car le QR EST littéralement l'argent — quiconque le photographie peut le dépenser.

Sensible par défaut : la chaîne du jeton est masquée ; le verdict avertit clairement que le QR porte une valeur non dépensée.

Nostr (NIP-19)

Identifiants Nostr encodés en bech32. Nous reconnaissons npub (clé publique), nsec (clé privée, avertissement ferme), note, nevent, nprofile, naddr, nrelay.

nsec sensible : une clé privée Nostr dans un QR signifie que l'identité du titulaire a été capturée. Nous le signalons comme une fuite de justificatif.

Industriel et réglementaire

GS1 Digital Link

La norme qui remplacera les codes-barres 1-D pour les produits de consommation. Les identifiants d'application dans le chemin de l'URL encodent le GTIN, le lot, la date de production / péremption, le numéro de série, et plus encore.

Nous exposons : le GTIN (01), le lot (10), la date de production (11), la date limite de conservation (15), la date de péremption (17), le numéro de série (21), et les AI supplémentaires sous forme de champs nommés.

Comment créer un GS1 Digital Link →

EU Digital Product Passport

La réglementation de l'UE exige que chaque produit de consommation porte un passeport numérique (durabilité, origine, informations de réparation) à partir de 2027. Construit sur des URL GS1 Digital Link qui pointent vers des pages de passeport par produit.

Le QR lui-même est décodé dès aujourd'hui via notre analyseur GS1 Digital Link ; le contenu du passeport au-delà de l'URL est publié par chaque fabricant.

Aperçu complet + ce que contient un passeport →

VPN et justificatifs développeur

WireGuard config

Configuration VPN WireGuard au format INI. Nous exposons l'adresse de l'interface, le DNS, le port d'écoute, le point de terminaison du pair, les IP autorisées, le keepalive persistant, le nombre de pairs supplémentaires.

Sensible par défaut : la clé privée de l'interface et la clé pré-partagée s'affichent en révélation d'un appui. Avertissement lorsque les IP autorisées sont 0.0.0.0/0 (tunnel complet, chaque octet de votre trafic passant par le serveur de quelqu'un d'autre).

SSH public key

Format OpenSSH authorized_keys (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Nous exposons l'algorithme, le commentaire et la longueur de la clé.

X.509 certificate / JWT

Certificats X.509 au format PEM et sérialisations compactes JWT brutes. Nous parcourons le DER du certificat pour extraire le CN/O du sujet, le CN de l'émetteur, les dates NotBefore/NotAfter et la longueur en bits de la clé publique. Nous signalons les certificats expirés.

Confidentialité JWT : nous exposons alg + typ depuis l'en-tête mais ne décodons JAMAIS les revendications de la charge utile du JWT — elles peuvent contenir des identifiants de compte, des portées ou d'autres secrets qui n'ont pas leur place dans les résultats de scan.

PGP key block

Bloc OpenPGP PUBLIC / PRIVATE KEY. Nous exposons uniquement le format — le matériel de clé est masqué. Les blocs PRIVATE KEY reçoivent un avertissement clair « ne partagez pas ce QR ».

Symbologies que nous décodons (le code visuel lui-même)

Une symbologie est le *conteneur* — la forme des points et des carrés. Les normes ci-dessus sont la *charge utile* — ce qui se trouve à l'intérieur. Notre scanner lit chaque symbologie à norme ouverte et transmet le texte décodé au bon analyseur ci-dessus.

QR Code (ISO/IEC 18004)

Modèle 1 (l'original de 1994), Modèle 2 (la norme mondiale actuelle), Micro QR (petits composants) et Micro QR rectangulaire (rMQR, ISO/IEC 23941:2022, étiquettes étroites comme les éprouvettes).

Aztec Code (ISO/IEC 24778)

La symbologie à repère central (œil-de-bœuf) utilisée sur Eurostar, les CFF et de nombreuses cartes d'embarquement de transport européennes.

En savoir plus sur Aztec →

Data Matrix (ISO/IEC 16022)

Symbologie dense de petit format. Utilisée par le commerce de détail GS1, le secteur pharmaceutique DSCSA, la défense MIL-STD-130, l'aviation ATA Spec 2000 et l'étiquetage des produits sanguins ISBT 128.

En savoir plus sur Data Matrix →

PDF417 (ISO/IEC 15438)

Symbologie linéaire empilée utilisée sur les permis de conduire américains/canadiens (AAMVA), les étiquettes d'expédition et les lettres de transport aérien FedEx.

En savoir plus sur PDF417 →

1-D barcodes

EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF, les codes-barres linéaires que vous voyez à chaque caisse d'épicerie et sur chaque étiquette d'expédition.

Pourquoi c'est important

La sûreté d'un QR n'est pas la sûreté de son URL — c'est la sûreté de la norme qui régit ce qu'il contient. Un QR de paiement est dangereux parce que quelqu'un a échangé l'autocollant ; un QR de clé d'accès est dangereux parce que quelqu'un veut se connecter à votre place ; un QR de carnet de vaccination est dangereux à cause de qui tient le scanner qui le lit. Nous modélisons chacun séparément, face à son propre modèle de menace, avec un décodage champ par champ plutôt qu'en devinant.

Chaque analyseur ci-dessus est transparent sur ce qu'il expose et ce qu'il masque délibérément, afin que vous puissiez vérifier nos affirmations en lisant la sortie du verdict, et non en faisant confiance à une boîte noire.

Voir la couverture complète → Essayer le scanner →