What is a mobile driver license (mDL)?

An mDL is the digital equivalent of a plastic driver's license, issued by your state DMV (or national authority) and stored in a wallet app on your phone. It is governed by ISO/IEC 18013-5, an international standard that specifies how attributes are signed, transferred, and verified. US states including Arizona, Colorado, Maryland, Georgia, Iowa, Mississippi, Ohio, Utah, Virginia, and a growing list are issuing mDLs; California has it in production; the EU is rolling out its own variant under EUDI Wallet (eIDAS 2.0).

What's encoded in the QR?

Under ISO/IEC 18013-5 section 8.2, the QR carries a CBOR-encoded DeviceEngagement structure. That structure declares the wallet's ephemeral public key (eDeviceKey), the cipher suite used (currently P-256 / ECDH-ES), and the list of transfer methods the wallet supports (NFC, Bluetooth LE, Wi-Fi Aware). It does NOT carry the actual license attributes (name, DOB, license number, photo). Those are sent over the chosen transfer channel AFTER the verifier requests specific attributes and the holder approves.

How is this different from the PDF417 barcode on the back of a plastic license?

Completely different. The PDF417 barcode on plastic AAMVA cards encodes every attribute on the card in plaintext, name, address, DOB, license number, restrictions, donor status, and any scanner can read all of it. An mDL QR is just a handshake. The verifier has to ASK for specific attributes (e.g. 'over 21? yes/no') and the holder has to APPROVE the release on their phone. The wallet can answer 'over 21 = yes' without disclosing the actual date of birth, that's called selective disclosure.

What does selective disclosure mean in practice?

A bartender scanning your mDL needs to know one thing: are you of legal drinking age? With a plastic license, you hand over the card and they see your full address, DOB, and license number. With an mDL the bartender's verifier app requests only the age_over_21 attribute. Your phone shows you that request, you approve, and a signed boolean is transferred. Nothing else. ISO/IEC 18013-5 supports a long list of such derived attributes (age_over_18, age_over_21, age_over_65), plus full attributes when actually needed (a car rental probably needs full name and license number; a bouncer doesn't).

What's a hostile verifier and how do I spot one?

A hostile verifier is a verifier app that asks for more attributes than the transaction needs, e.g. a bar asking for full address, license number, and photo when it only needs age_over_21. This is a real risk because verifier apps are not centrally regulated; anyone can build one. The mDL standard requires the wallet to display the full list of requested attributes before the holder approves, so the defense is reading that list. If the bar wants your home address to pour a beer, decline. ISO/IEC 18013-5 also supports verifier authentication (the verifier signs its request with a certificate from a trust list), so a scrupulous wallet warns when the verifier isn't on a known trust list. The list of recognized verifiers is jurisdiction-specific and still maturing.

Standards · Permis de conduire mobile (mDL)

QR codes de permis de conduire mobile : ISO/IEC 18013-5

Quand un barman, un agent TSA ou un employé de location de voitures scanne le QR sur votre téléphone, voici ce qui se passe : un échange de clés crypté initie une session locale. Aucun attribut n’est dans le QR.

Inspecter un QR mDL → Tous les standards →

Quel est le standard

ISO/IEC 18013-5:2021, Identification des personnes, permis de conduire conforme ISO, partie 5 : protocole de permis de conduire mobile (mDL). Publié en 2021, avec la 18013-7 (récupération en ligne) en 2024.

L’adoption est bien engagée : une douzaine d’États américains ont des mDL en production ou en pilote, ainsi que l’UE (dans le cadre du portefeuille eIDAS 2.0) et plusieurs pays de la région APAC.

Ce qui se trouve réellement dans le QR

Le QR mDL encode une structure CBOR DeviceEngagement. CBOR (Concise Binary Object Representation) est un format de sérialisation binaire compact, similaire au JSON mais en binaire.

{
  0: "1.0",                         // version
  1: [1, 2, [eDeviceKey bytes]],    // security: cipher suite 1, EC P-256 key
  2: [                              // device retrieval methods
    [1, 1, {...NFC options...}],
    [2, 1, {...BLE options...}],
    [3, 1, {...Wi-Fi Aware options...}]
  ],
  3: {...optional server retrieval...}
}

Champs clés, décodés :

Version

Toujours « 1.0 » pour les déploiements actuels. Les révisions futures pourraient la faire évoluer.

Suite de chiffrement

Actuellement toujours 1 : accord de clé ECDH sur P-256, session AES-GCM. Des suites futures (ex. : brainpool) peuvent être ajoutées.

eDeviceKey

Une clé publique EC éphémère générée par le portefeuille pour chaque session. Elle ne révèle aucun attribut, mais doit être présente et bien formée.

Méthodes de transfert

Le portefeuille indique au vérificateur quels canaux il est prêt à utiliser pour la session réelle de transfert de données : NFC, BLE, WiFi-Aware, etc.

Récupération serveur (optionnelle)

Si présent, le portefeuille prend en charge le mode 18013-7 : le vérificateur peut demander des attributs via un endpoint de serveur plutôt que via NFC/BLE local.

En quoi est-ce différent du PDF417 AAMVA sur la carte plastique ?

Il s’agit d’une catégorie différente de credential. Le AAMVA PDF417 sur votre permis plastique contient l’ensemble de vos attributs de permis, lisibles par tout scanner dés qu’il est présenté.

Un mDL inverse cela. Le QR ne contient aucun attribut, seulement une poignée de main. Le vérificateur doit demander des attributs spécifiques (given_name, family_name, birth_date, age_over_21, portrait, document_number, driving_privileges, etc.), le portefeuille vous présente la demande, et seuls les attributs que vous approuvez sont transmis. Le transfert est également signé cryptographiquement par l'autorité émettrice (votre DMV d'État), de sorte que le vérificateur peut confirmer l'authenticité des attributs sans contacter un serveur distant : la vérification hors ligne fonctionne.

C’est pourquoi les personnes soucieuses de leur vie privée préfèrent les mDL, même si le standard est plus complexe que le simple scan du PDF417.

Divulgation sélective : l’intérêt réel

Le standard mDL définit un ensemble d’attributs dérivés permettant au titulaire de répondre à des questions spécifiques sans divulguer la donnée brute sous-jacente.

age_over_18, age_over_21, age_over_65, pour les contrôles d’âge sans divulguer la date de naissance complète.
resident_state, pour les questions « êtes-vous résident de cet État ? » sans divulguer l’adresse complète.
driving_privileges, catégorie du permis, restrictions ; pour les agences de location de voitures vérifiant que vous êtes autorisé à conduire.

Une application de vérificateur bien conçue pour un bar ne demande que age_over_21. Le portefeuille répond oui ou non, sans divulguer la date de naissance.

Vérificateurs hostiles : le nouveau modèle de menace

Le modèle de menace de la carte plastique était simple : la perdre, la copier, se faire espionner par-dessus l'épaule. Le modèle de menace du mDL est différent. Le format est solide ; la cryptographie est saine ; le risque se déplace vers l'application de vérification de l'autre côté de la transaction.

N'importe qui peut créer une application de vérification. Il n'existe pas d'autorité centrale de délivrance de licences. Ainsi, un bar peut utiliser un vérificateur standard configuré pour demander la date de naissance complète, le nom complet et la photo, alors qu'il n'a besoin que de age_over_21. Un agent de location de voiture peut tout demander « pour le dossier ». Un vendeur en boutique peut demander l'adresse. Rien de tout cela n'est techniquement interdit par la norme ; la norme stipule simplement que le portefeuille doit montrer à son titulaire ce qui est demandé et exiger une approbation explicite.

La défense repose donc du côté du titulaire : lisez l’invite de demande. Si une application demande votre adresse complète, votre numéro de permis et votre date de naissance alors qu’elle n’a besoin que de vérifier votre âge, refusez.

Important à savoir : le vérificateur voit votre eDeviceKey, la suite de chiffrement et les méthodes de transfert de chaque session, même s’il ne vous demande qu’un seul attribut. C’est structurel au protocole.

Ce que notre scanner vous affiche

Déposez un QR DeviceEngagement mDL (image, colle ou caméra) dans notre scanner. Le verdict affiche :

Standard, ISO/IEC 18013-5 §8.2 DeviceEngagement (CBOR).
Version, généralement 1.0.
Suite de chiffrement, la suite nommée (P-256 / brainpool / etc.) et le mode de chiffrement de session.
Méthodes de transfert, les canaux offerts par le portefeuille (NFC, BLE, WiFi-Aware, récupération serveur).
Hôte de récupération serveur, si le portefeuille propose le mode 18013-7, quel domaine gère le serveur de récupération.
Longueur de l’eDeviceKey, confirme que la clé est présente et bien formée, sans exposer les octets bruts.

Nous NE décodons PAS les attributs ; il n’y a aucun attribut dans le QR par conception. Tout le trafic des attributs passe par le canal NFC/BLE/WiFi-Aware sécurisé après l’engagement.

Le décodage se fait dans votre navigateur ; seules les métadonnées structurelles parviennent à notre serveur. Aucun attribut du permis n’est transmis.

Avant d’approuver une demande de vérificateur

Lisez l’invite de demande. Votre portefeuille est tenu par le standard d’afficher exactement quels attributs sont demandés avant que vous approuviez.
La demande correspond-elle à la transaction ? Un barman qui demande la date de naissance complète au lieu de age_over_21 = refuser ou demander pourquoi. Un agent de location de voiture qui demande le statut de donneur d'organes = refuser.
Le vérificateur est-il sur une liste de confiance ? Certains portefeuilles affichent une coche si le vérificateur est enregistré auprès de l’autorité de délivrance.
La récupération en ligne (18013-7) est plus puissante et plus intrusive. Si votre portefeuille vous demande une connexion réseau pour répondre à une demande, la vérification ne se fait pas localement.
Vous pouvez toujours refuser. Tout l’intérêt de la divulgation sélective est que vous avez le droit de ne pas présenter votre permis numérique si la demande semble excessive.

Connexe

Permis de conduire AAMVA PDF417, le code-barres 2D sur le dos de votre permis plastique.
QR passkey FIDO2, un autre protocole inter-appareils qui utilise des échanges de clés cryptés dans un QR.
Arnaques aux QR codes à surveiller en 2026
Tous les standards QR que nous vérifions
Liste de couverture complète

Inspecter un QR DeviceEngagement mDL

Déposez le QR (image, colle ou caméra). Le verdict affiche la version, la suite de chiffrement, les méthodes de transfert et l’analyse de l’eDeviceKey.

Ouvrir le scanner →