Covid-19 : Adolf Hitler, Bob l’éponge… Des internautes se sont amusés à créer de faux pass sanitaires via une faille de sécurité

Certains internautes ont affirmé disposer de clés cryptographiques secrètes utilisées pour générer un QR code valide pour le pass sanitaire européen

Image d'illustration : e pass sanitaire (illustration). — Mourad ALLILI/SIPA

Par : H. B.

​De vrais faux QR code… Depuis mercredi, certains internautes affirment sur des forums et les réseaux sociaux disposer de clés cryptographiques secrètes utilisées pour générer un QR code valide pour le pass sanitaire européen. Ce code contient l’identité de son détenteur et des informations sur son état de vaccination ou son immunité.

En guise de preuve, ces utilisateurs ont créé des codes bien valides aux noms fantaisistes, comme Adolf Hitler ou Bob l’Eponge.

Il est possible de générer des #PassSanitaire pour le #COVID19 valides et signés grâce à des serveurs exposés.

C'est comme ça que les vrais-faux QR Codes d'Adolf Hitler, Bob l'éponge ou bien Mickey Mouse on été générés..

thread: https://t.co/UClVYUCb6Z

Exemple de QR valide, pic.twitter.com/jLDcPoqkgS

— Xiloe (@Xiloeee) October 28, 2021

---

ICI ► Inscrivez-vous et recevez gratuitement la newsletter matinale

---

Spongebob oggi e’ potuto andare a lavorare con il suo pass! Squiddi e’ sorpreso di vederlo a lavoro dopo la discussione dell’altro giorno sull’obbligo del pass per lavorare#nogreenpass #GreenPassBucato #LGBT pic.twitter.com/1qBU9wKAxw

— Justin Time 🧱 (@JustinT37781594) October 28, 2021

Confrontés depuis quelques jours à la diffusion de ces vrais faux pass sanitaires de vaccination, les pays européens ont fini par révoquer des clés cryptographiques mal protégées, tandis que les autorités françaises et polonaises ont lancé une enquête. « Nous avons bien connaissance de manipulations frauduleuses présumées du QR code du certificat Covid européen », a indiqué vendredi un porte-parole de la Commission européenne.

Une faille en Macédoine du Nord

Les clés de chiffrement privées n’ont pas été compromises, a toutefois assuré la Commission européenne, qui écarte la piste de la défaillance technique et dénonce plutôt une « activité illégale ». Dans certains cas, « les certificats ont été générés par des personnes disposant d’informations d’identification valables pour accéder aux systèmes informatiques nationaux », affirme l’institution.

Mais selon des experts, des portails Internet dont notamment celui de la Macédoine du nord (pays hors UE mais intégré depuis août au dispositif sanitaire européen), manquaient également des protections les plus basiques et ont permis de générer de nombreux codes frauduleux.

« Chaque pays dispose d’une ou plusieurs signatures, et dans chaque pass, on retrouve par quelle clé il a été signé », a expliqué Gaëtan Leurent, chercheur en cryptographie à l’Institut national de recherche en sciences et technologies du numérique. Pour que le système fonctionne, il faut que tous les serveurs utilisés pour signer les pass soient correctement protégés. « Si un service reste ouvert et signe n’importe quoi, en pratique c’est un peu la même chose » que si la clé avait été volée, a-t-il ajouté.

Un mystérieux certificat de vaccination au nom de Mickey Mouse

Pour remédier à la faille, les Etats membres du réseau eHealth – santé publique à l’échelle de l’Union européenne – ont convenu de « bloquer les deux certificats frauduleux afin qu’ils soient considérés comme non valides par les applications de vérification ». Le portail macédonien a également été désactivé. En France, la mise à jour de l’application TousAntiCovid Verif s’est faite jeudi matin.

L’affaire n’est pas totalement close car l’origine de certains pass sanitaires frauduleux reste mystérieuse. Un certificat de vaccination au nom de Mickey Mouse semble avoir été signé par les autorités françaises, d’autres par les services polonais, peut-être grâce à des complices parmi les professionnels de santé. Les deux pays ont lancé une enquête, a indiqué la Commission européenne.

En septembre, les QR codes des vrais pass sanitaires d’Emmanuel Macron et Edouard Philippe avaient été diffusés sur les réseaux sociaux, le premier par des soignants qui avaient consulté le dossier vaccinal du président selon l’Assurance maladie, et le second par des internautes qui étaient parvenus à le scanner à partir d’une photo de presse.

(SOURCE) : 20minutes.fr

  Lire les commentaires   '   Commenter   '